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分 为 9 章 。 系 统 地 介绍 了 软件 安全 开发 的 基础 知识 ,包括 软件 开发 的 现状 和 常见 的 开发 生 
命 周 期 模型 ;在 传统 需求 分 析 方 法 基础 上 介绍 软件 安全 需求 与 设计 ,重点 介绍 威胁 建 模 方 法 ;结合 软件 
开发 模型 介绍 软件 发 布 和 部 署 阶段 的 安全 措施 ;具体 结合 C.C++、Java、PHP、Python 等 语言 ,详细 讲解 
其 安全 现状 .常见 漏洞 和 编码 规范 ;概述 了 安全 测试 的 流程 和 方法 ,并 结合 典型 案例 让 读者 能 够 对 这 些 
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出 矿 砚 明 一 


21 世纪 是 信息 时 代 ,信息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 二 接 关 系 到 国家 安全 、 企 业经 营 和 人 们 的 日 第 生活 。 随 着 
信息 安全 产业 的 快速 发 展 , 全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极度 匮乏 , 远 远 不 能 满足 金融 商业、 公安 、 盏 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 韦 慎 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方 咎 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信和 物理、 数学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培 基 模式 和 诬 程 设置 ,各 高 校 普 遍 缺 乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “局 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 首 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 人 研究 先行 的 指导 原则 ,认真 
人 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 看 我 国信 息 安全 专业 的 发 展 不 断 深 
入。 系列 教材 的 作者 部 是 既 在 本 专业 领域 有 深厚 的 学 术 造 证 ,又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 、 专 家。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

由 体系 完整 .结构 合理 ,内 容 先 进 。 

适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信和 工程 等 相关 专业 对 信息 

立体 配套 : 除 主教 材 外 ,还 配 有 多 嫁 体 电子 教案 .习题 与 实验 指导 等 。 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 六 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。 “高 等 院 校 信 息 安全 专业 系列 教材 "已 于 2006 年 年 
初 正 式 列 入 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


代码 安全 


暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 教育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 双 ee 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信 息 安 全 专业 教学 指导 委员 会 成 立 。 经 组 织 审 查 
和 研究 决定 ,2014 年 以 alle Naeig ripplepaer tt 


《高 等 学 校 信息 安全 专业 指导 性 专业 规范 兴 由 清华 大 学 出 版 社 正 式 出 版 )。 


2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ?为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 ) .国家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 中 网 办 发 文 [2016]J4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空 间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 贯彻 落实 4 关于 加 强 网 络 安全 学 科 建 设 和 人 才 
CA 教学 改革 ,促进 网 络 安 全 学 科 专 业 建 设 和 人 才 培 养 , 促 

进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,局 动 了 网 络 空间 
安全 重点 规划 丛书 ?的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教 授 担 任 编 委 会 主任 。 本 规划 从 书 基于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 
工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 王 普通 高 等 教育 精 
品 教材 “中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安 全 优秀 教材 奖 ” 等 多 个 奖项 ，。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 《高 等 学 校 信息 安全 专业 指导 性 专业 规范 六 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系统 
性 和 新 新 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空 间 安 全 学 科 的 发 
展 不 断 完 善 , 力 争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 人 研究 生 教材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(Otup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空 间 安 全 重点 规划 丛书 ?编审 委员 会 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 更 多 、 更 快 、 更 好 地 培养 网 络 安全 人 才 , 许 多 学 校 都 加 大 投入 ,聘请 
优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 网 络 空间 安全 专业 人 才 的 关键 。 但 是 ,这 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ,至 少 
包括 密码 学 .数学 .计算 机 .通信 工程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞杂 、 杭 
理 困 难 ; 其 二 ,网 络 空间 安全 的 实践 性 很 强 ,技术 发 展 更 新 非常 快 ,对 环境 和 
师资 要 求 也 很 高 。 

“代码 安全 ”是 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 ,通过 介绍 软件 
安全 开发 的 模型 和 第 见 代 码 漏 洞 与 解决 办 法 ,使 学 生 掌 握 软件 安全 开发 方法 
和 和 常用 代码 编写 规范 。 本 书 涉 及 的 知识 面 宽 , 共 分 为 9 章 。 第 1 章 介 绍 软件 
安全 开发 基础 ,第 2 章 介 绍 软件 安全 需求 与 设计 ,第 3 章 介 绍 C 和 C++ 安全 
编码 ,第 4 章 介 绍 Java 安全 编码 ,第 5 章 介 绍 PHP 安全 编码 ,第 6 章 介 绍 
Python 安全 编码 ,第 7 章 介 绍 软件 安全 测试 ,第 8 章 介 绍 软件 安全 发 布 与 部 
团 ,第 9 章 介 绍 典 型 案例 。 

本 书 既 适合 作为 高 校 网 络 空间 安全 ,信息 安全 等 专业 的 教材 ,也 适合 网 
络 安全 研究 人 员 作 为 网 络 空间 安全 领域 的 人 门 基础 读物 。 随 着 新 技术 的 不 
断 发 展 ,作者 今后 会 不 断 更 新 本 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 朴 漏 和 不 妥 之 处 ,欢迎 读者 批评 指正 。 


作 者 
2019 年 12 月 
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生 工 ”软件 安全 开发 基 而 


信息 技术 的 三 沁 应 用 和 网 络 空间 的 发 展 极 大 促进 了 经 济 社 会 寡 末 进步 ,但 同时 也 市 
来 了 新 的 安全 风险 和 挑战 。 本 章 首 先 介绍 软件 安全 开发 的 现状 .问题 和 成 因 , 其 次 曾 述 软 
件 安 全 开发 生命 周期 ,介绍 几 种 常见 软件 安全 开发 模型 ,使 读者 认识 到 软件 安全 开发 的 重 
要 性 ,了 解 软件 安全 开发 的 基本 思想 和 方法 流程 。 


1.1 ”软件 安全 开 友 现状 


111 软件 安全 面临 的 挑战 


随 着 网 络 技术 和 应 用 的 飞速 发 展 , 网 络 化 和 互联 互通 已 经 成 为 当前 软件 和 信息 系统 
发 展 的 大 势 所 趋 ,信息 系统 安全 正面 临 者 前 所 未 有 的 挑战 。 一 方面 ,信息 系统 与 互联 网 或 
其 他 网 络 的 互联 增加 ,会 导致 系统 受 攻击 面 增 大 ; 男 一 方面 , 随 着 构建 在 信息 系统 之 上 的 
溃 种 业务 应 用 的 不 断 丰 是 以 及 软件 和 信息 系统 复 沪 程度 的 不 断 提 融 ,使 系统 面临 的 安全 
威胁 空前 增加 ;此 外 ,代码 行 数 的 迅速 增加 ,使 系统 中 隐 蕊 的 各 种 安全 隐患 也 随 之 增多 ,并 
日 通 党 难以 锌 发现 和 诅 际 。 

软件 开发 通常 会 引入 缺陷 。 据 360 互联 网 安全 中 心 的 数据 显示 : 普通 软件 工程 师 的 
缺陷 密度 一 般 为 50 一 250 个 缺陷 / 千 行 源 代 码 。 由 于 有 严格 的 软件 开发 质量 管理 机 制 和 
多 重 测 试 环 市 ,成 熟 的 软件 公司 的 缺陷 密度 要 低 得 多 ,普通 软件 开发 公司 的 缺陷 密度 为 
4 一 40 个 缺陷 / 千 行 源 代码 ,高 水 平 的 软件 公司 的 缺陷 密度 为 2 一 4 个 缺陷 / 千 行 源 代 码 ， 
而 美国 NASA 的 软件 缺陷 密度 可 低 至 0. 1 个 缺陷 / 千 行 源 代 码 , 如 表 1-1 所 示 。 

表 1-1 代码 缺陷 密度 


开发 人 员 / 组 织 类 型 缺陷 密度 /( 个 缺陷 。 千 行 源 代码 ) 
普通 软件 工程 师 50~250 

普通 软件 开发 公司 4~40 

高 水 平 软件 开发 公司 2~4 

美国 NASA 0.1 

中 国 软件 公司 6 


根据 奇 安信 集团 多 年 的 源 代 码 缺 陷 测试 实践 统计 ,国产 软件 平均 的 缺陷 密度 为 6 个 


ED 代码 安全 IE 


缺陷 / 千 行 源 代码 ,假设 1% 的 安全 缺陷 是 可 被 黑客 恶意 利用 以 实施 攻击 的 , 则 一 个 网 银 
客户 靖 大 小 的 软件 将 可 能 存在 3 一 6 个 可 被 利用 的 源 洞 ,由 此 可 见 国内 软件 安全 形势 的 

为 了 保证 新 产品 的 面市 时 间 , 许 多 公司 只 注重 软件 开发 而 忽略 了 产品 的 安全 问题 ,使 
得 攻击 者 可 以 借助 软件 漏洞 轻松 入 侵 系 统 。 国 内 外 利用 软件 漏洞 攻击 信息 系统 导致 的 信 
县 安全 事件 屡见不鲜 ,如 图 1-1 所 示 。 例 如 近年 热门 的 共享 单车 ,攻击 者 利用 其 软件 漏 
润 ,在 短 时 间 内 就 可 对 用 户 账户 进行 人 侵 , 获 取 用 户 隐 私信 息 ,损害 用 户 的 合法 权益 ; 随 春 
网 络 借贷 平台 的 兴起 ,攻击 者 可 利用 平台 框架 代码 中 隐藏 的 漏洞 入侵 主机 ,进行 非法 信贷 
提现 操作 。 人 们 已 经 逐渐 意识 到 软件 安全 开发 的 重要 性 。 


下， 黑客 是 如 何 找到 隐藏 漏洞 的 ? 
EE 问 神 各 进 信 电子 巴 国 国 居 国 四 四 


LE 部 分 客户 确 营 遭遇 涉及 SS7 泌 洞 的 网 络 动 持 。 多 年 


\ 3S7 协 议 的 相关 安全 漏洞 发 布 警告 与 提醒 。 
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( 原 标题 : Wi-Fi 爆 严重 安全 漏洞 ， 四 成 去 卓 装置 恐 遭 入 侵 ) 


中 新 网 10 月 17 日 消息 ， 据 新 加 坡 《 联 合 早报 》 报道 ， 专 家 最 近 在 受到 广泛 
Wi-Fi 加 密 协 议 上 发 现 新 的 漏洞 ， 可 能 导致 数 以 百 万 计 的 使 用 者 容易 遭受 攻击 
41% 的 Android 装 置 ， 美 国政 府 与 安全 研究 人 员 当 地 时 间 16 日 就 此 向 全 球 发 出 as 

所 报道， 美国 国 十 安全 部 的 电脑 紧急 应 变 小 组 发 布 安全 公告 指出 ， 黑 客 可 能 利用 
这 个 漏洞 ， 窃 听 或 动 持 使 用 无 线 网 络 的 装置 





1-1 软件 漏洞 被 利用 的 事例 


面 对 如 此 严峻 的 软件 安全 开发 现状 ,国家 制定 了 相关 法 律 法 规 和 标准 ,积极 推动 网 络 
环境 安全 建设 《国家 信息 安全 等 级 保护 管理 方法 ) 要 求 ,对 于 自行 开发 软件 的 公司 ,应 制 
定 代码 编写 安全 规范 ,开发 人 员 应 参照 规范 编写 代码 ,在 软件 开发 过 程 中 必须 对 安全 性 进 
行 测试 ,并 在 软件 安放 前 对 可 能 存在 的 恶意 代码 进行 检测 ;对 于 从 事 外 包 软 件 开 发 的 公 
司 ,应 在 软件 交付 前 检测 软件 质量 和 其 中 可 能 存在 的 恶意 代码 。2017 年 6 月 1 日 《中 华 
人 民 共 和 国 网 络 安全 法 》 正 式 实 施 , 对 业务 系统 安全 审计 提出 了 新 的 要 求 。《 国 务 院 办 公 
厅 关 于 印发 政府 网 站 发 展 指引 的 通知 ) 中 也 提 到 ,要 对 应 用 软件 的 代码 进行 安全 分 析 和 测 
试 ,识别 并 及 时 处 理 可 能 存在 的 恶意 代码 。 


112 软件 安全 开发 问题 


在 信息 化 建设 过 程 中 ,软件 系统 的 安全 体系 是 一 个 复杂 的 体系 ,如 果 对 系统 软件 .应 
用 软件 和 第 三 方 软件 的 安全 问题 以 及 开发 .部 普 过 程 中 的 安全 问题 处 理 不 当 或 者 不 加 防 
范 , 都 可 能 给 整个 系统 市 来 巨大 的 灾难 。 
了 
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源 洞 (vulnerability) 是 指 软 件 中 实际 存在 ,能够 导致 系统 骨 沉 或 遭受 攻击 的 安全 问 
。 信 息 技 术 .信息 产品 .信息 系统 在 需求 、 设 计 、 实 现 . 配 置 .运行 等 过 程 中 , 凋 会 产生 缺 


由, 这 下 本 附设 不 同 六 式 站 在 于 信息 系 纺 的 各 不 层次 和 环 广 之 中 。 汤 洞 在 多 数 情况 下 并 
不 影 啊 软 件 的 正常 功能 ,但 如 末 锌 攻击 者 成 功利 用 , 束 可 能 引起 合意 代 人 码 的 执行 ,对 信息 
系统 的 安全 造成 损害 ,从 而 影响 构建 于 信息 系统 之 上 的 正常 服务 的 运行 ,危及 信息 系统 及 
信息 的 安全 。 


缺陷 (weakness) 通 常 是 指 从 源 代码 层 面 分 析出 来 的 潜在 安全 隐患, 它 影 响 软件 的 
正常 功 能 ,例如 执行 结 采 错误 、 页 面 显 示 错 误 等 。 在 源 代码 层面 进行 缺陷 检测 和 修复 ， 
能 够 大 幅 降 低 最 终 软 件 中 的 漏洞 数量 ,起 到 “ 防 患 于 未 然 2 的 作用 ,也 是 成 本 最 低 的 
pr 

错误 (bug) 是 指 计算 机 系统 的 硬件 、 系 统 软件 (如 操作 系统 ) 或 应 用 软件 (如 文字 处 理 
软件 ) 在 运行 过 程 中 出 鱼 , 并 不 局 限于 安全 问题 。 


1 钊 见 的 软件 安全 问题 

常见 的 软件 安全 问题 分 为 以 下 4 种 。 

1) 系统 软件 安全 问题 

系统 软件 是 指 面 回 硬件 或 者 开发 者 所 设立 的 软件 ,是 指控 制 和 协调 计算 机 及 外 部 设 
备 , 文 持 应 用 软件 开发 和 运行 的 系统 。 有 代表 性 的 系统 软件 有 操作 系统 和 数据 库 系统 。 
操作 系统 是 计算 机 系统 的 控制 和 管理 中 心 ,常见 的 操作 系统 有 Windows、Linux、UNIX、 
Mac OS 等 。 数 据 库 系统 是 由 数据 库 及 其 管理 软件 组 成 的 系统 ,代表 性 的 数据 管理 系统 
有 Oracle.MySQL 等 。 绝 大 多 数 系统 和 应 用 漏洞 源 于 在 软件 开发 的 需求 分 析 . 总 体 设计 
和 代码 编制 等 过 程 中 引入 的 缺陷 。 

近 几 年 兴起 的 “ 破 充 ”Shellshock) 汤 洞 是 系统 软件 安全 问题 的 一 个 典型 实例 。 这 是 
一 种 典型 的 脚本 注入 漏洞 ,由 于 基于 Bash 的 向 用 远程 服务 在 输入 过 滤 中 没有 严格 限制 边 
界 ,也 没有 作出 参数 合法 化 判断 ,攻击 者 可 在 Linux 等 服务 器 操作 系统 上 远程 执行 任意 命 
令 。 并 且 因 为 类 UNIX 系统 是 众多 网 络 设 备 的 压 层 操作 系统 ,特别 是 Bash 广泛 地 分 布 
和 存在 于 设备 中 ,所 以 此 漏洞 的 危害 范围 很 大 ,涉及 网 络 设备 、 网 络 安全 设备 、 云 计算 和 大 
数据 中 心 等 。 

2) 应 用 软件 安全 问题 

应 用 软件 (application software) 是 和 系统 软件 相对 应 的 ,是 为 满足 用 户 不 同 领域 .不 
同 问题 的 应 用 需求 而 开发 的 软件 ,包括 办 公 软 件 .多 媒体 软件 和 分 析 软 件 等 。 任 何 一 种 软 
件 系统 都 存在 脆弱 性 ,应 用 软件 狂 洞 可 以 看 作 编 程 语 言 的 局 限 性 。 例 如 ,一 些 程序 如 采 接 
收 到 异常 或 者 超 长 的 数据 和 参数 就 会 导致 缓冲 区 淤 出 ,3 tte 
或 者 很 少 考虑 安全 性 问题 , 且 大 多 数 开 发 人 员 缺 乏 安 全 培训 或 没有 安全 编程 经 验 。 第 见 
的 应 用 软件 漏洞 有 SQL 注入 .路 站 脚本 攻击 (XSS) 漏 洞 . 跨 站 请 求 伪 造 CCSRF) 漏 洞 和 疏 
虫 盗 链 等 。 

近 些 年 热门 的 P2P 金融 网 站 系统 就 是 一 个 舱 型 例 于 。 随 看 互联 网 金融 产业 的 兴盛 ， 
很 多 互联 网 企业 通过 购买 通用 软件 模板 或 自主 开发 的 方式 建立 P2P 网 贷 平 台 。 由 于 人 金 
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融 网 站 开发 普遍 存在 者 安全 技术 力量 不 足 的 状况 ,网 站 系统 中 经 党 包含 XSS 汤 洞 .CSRF 
洗 洞 .平行 越权 汤 润 , 任 童 用户 密码 重 置 源 洞 等 开发 源 洞 。 攻 击 者 可 以 利用 这 些 源 洞 攻击 
网 站 后 台 , 使 得 P2P 平台 道 过 系统 瘫痪 、 数 据 被 悉 总 泄露 或 自 改 、 贷 金 秘 洗 动 等 安全 
问题 。 

3) 第 三 方 代码 安全 问题 

为 了 加 快 软 件 开发 的 速度 ,大 多 数 开 发 人 员 会 使 用 第 三 方 代码 库 帮 助 目 己 方便 、 快 捷 
地 实现 想 要 的 功能 ,例如 拼写 检查 程序 或 图 表 制 作 工 具 。 然 而 长 期 使 用 这 样 的 第 三 方 代 
但 存在 很 大 的 安全 隐患 。 如 采 东 个 库 文 件 存在 漏洞 , 且 在 程序 开发 设计 阶段 ,开发 者 又 忽 
格 了 第 三 方 库 代码 的 洗 洞 审 碍 ,那么 所 有 使 用 了 该 库 文件 的 软件 程序 都 将 面临 安全 威胁 。 
这 种 漏洞 大 多 属于 突 发 性 威胁 ,爆发 速度 快 ,波及 范围 广 , 值 得 高 度 关 注 。 例 如 ， 
OpenSSL 中 出 现 的 心脏 滴 血 涛 润 (Heartbleed)、GNU Bash 中 出 现 的 破 元 漏 酒 
(Shellshock) 都 属于 这 种 汤 润 。 

OpenSSL 是 安全 套 接 层 密 码 库 , 同 时 还 是 一 个 第 三 方 开放 源 代码 软件 包 , Apache 使 
用 它 加 密 HTTPS,OpenSSH 使 用 它 加 密 SSH ,很 多 涉及 资金 交易 的 平台 (如 支付 网 站 ) 
也 用 它 作 为 加 密 工 具 。2014 年 ,OpenSSL 中 的 心脏 滴 血 安全 漏洞 被 首次 曝光 ,利用 这 个 
漏洞 ,攻击 者 不 仅 可 以 破解 加 密 的 信息 ,而 且 可 以 从 内 存 中 提取 随机 数据 , 即 攻击 者 可 以 
利用 这 个 漏洞 下 接盘 取 目 标 用 户 的 密码 .私人 密 铀 和 其 他 敏感 用 户 数据 。 由 于 大 量 软件 
都 使 用 了 存在 漏洞 的 OpenSSL 代码 库 ,尤其 是 HITPS 网 站 (大 多 采用 OpenSSL 来 实现 
对 SSL 协议 的 支持 ) ,致使 国内 外 众多 大 型 网 站 和 广 商 都 受到 严重 影响 。 和 直到 今天 ,很 多 
设备 上 的 OpenSSL 漏洞 仍然 没有 被 修复 。 

4) 新 技术 安全 问题 

在 工业 生产 领域 , 随 看 计算 机 技术 ,通信 技术 ,控制 技术 的 发 展 和 信息 化 与 工业 化 的 
深度 融合 ,传统 的 工业 控制 系统 (Industrial Control System ,ICS) 逐渐 回 网络 化 方 回 转 
变 ,ICS 面临 的 信息 安全 形势 日 益 严 峻 。 例 如 ,著名 的 “网 络 超级 武 副 ”Stuxnet 病毒 有 针 
对 性 地 对 伊 明 布什 尔 核电 站 进行 人 侵 ,严重 影 啊 核 反应 推 的 安全 运 萌 。 

在 日 第 生活 中 , 乔 能 手表 、 乔 能 电视 、 乔 能 冰箱 、 乔 能 洗衣 机 乃至 乔 能 电 饭 从 等 越 来 越 
多 的 新 设备 接 入 互联 网 ,万 物 互 联 的 时 代 已 经 开启 ,这 些 新 型 网 络 中 的 软件 安全 问题 尤为 
引 人 关 注 。 以 车 联网 为 例 ,德国 安全 专家 发 现 宝马 庄 多 车 型 的 “联网 驾驶 ”数字 服务 系统 
在 安全 性 方面 有 正 疫 ,攻击 者 可 利用 其 中 的 漏洞 在 数 分 钟 骨 以 远程 无 线 方式 侵入 丰 辆 内 
部 并 解除 本 锁 。 其 主要 原因 是 汽 丰 控制 系统 在 验证 解锁 信号 时 只 是 加 宝马 服务 舍 发 送 了 了 
一 个 简单 的 HTTP Get 请 求 ,并 没有 在 传输 过 程 使 用 SSL 或 工 S 加 密 , 致 使 攻击 者 可 以 
轻松 截获 传输 信息 。 


2 软件 开发 各 阶段 中 的 安全 问题 

在 需求 .设计 和 开发 等 软件 开发 流程 中 ,如 果 在 安全 方面 稍 有 不 慎 , 就 可 能 将 安全 漏 
洞 市 进 软 件 中 。 绝 大 多 数 网 络 攻击 都 是 针对 和 利用 已 知 的 .未 打 补 丁 的 软件 漏洞 和 不 安 
全 的 软件 配置 进行 的 。 

软件 开发 过 程 如 图 1-2 所 示 ,包括 需求 分 析 、 议 计 、 开 发 .测试 .部 着 . 运 维 6 个 阶段 。 
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维 阶段 


(ni 





安全 需求 安全 设计 安全 开发 规范 安全 功能 测试 基线 检查 软件 水 平 维护 
安全 需求 评审 威胁 建 模 安全 开发 目标 漏洞 测试 漏洞 扫描 SDK 安 全 
安全 需求 说 明 书 威胁 分 析 自动 化 代码 审计 其 他 测试 漏洞 响应 第 三 方 组 件 安 全 
开源 组 件 安全 识别 


在 软件 设计 和 开发 的 不 同 阶段 ,开发 人 员 需 要 考虑 不 同 的 安全 问题 。 

(1) 在 需求 分 析 阶 段 ,大 多 数 程序 设计 人 员 过 多 关注 需要 实 现 的 功能 ,而 忽视 了 安全 
需求 ,需求 评审 缺少 安全 方面 的 审计 介入, 安全 目标 不 够 明确 。 

(2) 在 设计 阶段 ,认证 问题 .授权 问题 .关键 数据 保护 措施 不 够 完善 ,号 份 认证 和 会 话 
管理 设置 不 当 , 第 三 方 组 件 不 安全 等 软件 设计 和 寻 致 的 狂 洞 层出不穷 。 例 如 ， 
使 用 明文 保存 密码 ,就 可 能 使 得 攻击 者 轻 多 获取 用 户 的 隐私 信息 ,进而 造成 用 户 权益 
损 。CSRF Direct Object Reference 等 源 洞 也 属于 软件 设计 缺陷 。 

(3) 在 开发 阶段 ,安全 编码 规范 的 制定 、 周 期 性 检测 、 差 距 分 析 、 修 复 跟 踊 等 方面 都 较 
多 出 现 漏洞 ,例如 SQL 注入 、XSS 源 洞 等 ,这 会 使 得 敏感 信息 多 被 泄露 ,攻击 者 可 利用 源 
洞 信 息 攻 击 服务 右 , 盗 取 用 户 隐 私信 息 , 给 企业 和 用 户 痢 造成 严重 损失 ，。 

(4) 在 测试 阶段 ,许多 测试 人 员 只 关注 软件 的 功能 .性 能 和 稳定 性 检测 ,而 忽视 源 代 
但 缺陷 测试 .器 盒 测试 .业务 性 安全 测试 和 第 三 方 组 件 安全 评审 等 在 安全 开发 中 至 关 重 要 
的 测试 步骤 。 

(5) 在 部 署 阶段 ,缺少 配置 安全 评审 ,系统 的 略 外 服务 . 妆 口 安全 ,服务 融 默 认 用 户 、 
默认 用 例 、 权 限 过 高 的 默认 账户 等 方面 都 有 可 能 造成 软件 缺陷 。 例 如 ,默认 口令 会 使 得 攻 
击 者 更 容易 获取 管理 员 密码 ,从 而 人 侵 服 务 硕 ,获取 大 量 用 户 信 息 。 

(6) 在 运 维 阶段 ,软件 水 平 是 否 完好 无 损 ,SDK 是 否 出 现 安全 问题 ,软件 本 身 是 否 出 
现 安全 问题 ,第 三 方 组 件 是 否 产生 安全 漏洞 ,都 是 运 维 人 员 需 要 经 稼 考虑 的 安全 问题 。 
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现代 软件 功能 强大 而 复 淋 ,因此 所 有 的 软件 部 存在 汤 洞 。 只 要 软件 存在 淹 润 ,就 有 被 
利用 的 可 能 。 许 多 公司 为 了 保持 欧 争 能 力 的 领先 地 位 ,不 断 加 快 新 产品 的 面市 速度 , 却 忽 
略 了 应 用 系统 的 安全 问题 ,攻击 者 价 助 漏洞 得 以 轻松 入 侵 系 统 , 鳃 取 公司 机 密 数据 ,使 整 
个 公司 处 于 风险 之 中 。 事 实 上 ,几乎 所有 的 网 络 攻击 都 是 利用 系统 软件 或 应 用 软件 中 存 
在 的 安全 缺陷 实施 的 。 为 了 保护 国家 、 企 业 和 个 人 的 安全 和 利益 ,应 该 研究 软件 的 安全 开 
发 方法 。 软 件 安 全 开发 问题 的 产生 原因 有 以 下 几 点 : 

。 开源 软件 不 安全 。 

。 项 目 任务 工期 紧张 ,未 考虑 安全 编程 的 时 间 。 

。 开发 环境 不 安全 。 

。 开发 团队 缺乏 必要 的 安全 开发 专业 知识 。 

。 软件 趋 回 大 型 化 ,第 三 方 扩展 增多 。 


代码 安全 


1 开源 软件 不 安全 

许多 程序 设计 人 员 在 开发 软件 时 ,更 注重 软件 功能 的 实现 ,和 常 使 用 大 量 未 经 安全 检查 
的 开源 代码 和 公用 模块 ,而 缺少 了 对 安全 风险 的 管理 。 开 源 软件 的 来 源 一 般 有 两 类 ; 一 
是 开源 机 构 , 如 GitHub; 二 是 营利 机 构 , 如 Red Hat。 这 些 代 码 中 可 被 利用 的 已 知 和 未 知 
缺陷 较 多 。 如 果 引 用 的 开源 代码 本 号 存在 汤 洞 , 则 所 有 使 用 该 开源 代码 的 软件 都 将 陷入 
人 危机。 


2 项 目 任务 工期 察 张 ,未 考虑 安全 编程 的 时 间 

软件 开发 公司 工期 紧 、 任 务 重 ,为 争夺 客户 资源 和 抢夺 市 场 份额 , 常 仓促 发 布 软件 。 
软件 开发 人 员 为 了 在 规定 的 时 间 内 完成 开发 任务 ,往往 只 关注 是 否 实现 了 所 需 功 能 ,没有 
过 多 的 时 间 和 精力 从 攻击 者 的 角度 思考 软件 安全 问题 ,对 软件 安全 架构 ,安全 防护 措施 认 
识 不 够 


3 开发 环境 不 安全 

软件 开发 环境 是 用 于 文 持 软件 的 工程 化 开发 和 维护 的 一 组 软件 。 当 开发 环境 出 现 安 
全 问题 时 ,使 用 该 开发 环境 开发 或 维护 的 软件 都 将 存在 漏洞 。 例 如 羊 采 公司 的 Xcode 开 
发 工具 ,由 于 其 体积 过 于 庞大 ,通过 苹果 官方 商店 安装 十 分 缓慢 ,于 是 很 多 开发 者 从 网 盘 
或 迅雷 等 第 三 方案 道 下 载 。 攻 击 者 利用 这 一 点 ,将 包含 恶意 功能 的 Xcode 重新 打包 ,发 
至 各 类 笠 采 开发 社区 供 开 发 者 下 载 。 来 目 各 企业 的 开发 者 下 载 和 安 痛 包含 恶意 代码 的 
Xcode, 用 它 来 编写 软件 。 这 些 被 注入 恶意 功能 的 软件 可 以 通过 审核 ,在 笠 果 商店 上 以 ， 
用 户 在 下 载 和 安放 这 些 存 在 恶意 代码 的 软件 后 ,其 系统 也 将 被 感染 。 


4 开发 团队 缺乏 必要 的 安全 开发 专业 知识 

在 软件 公司 中 ,软件 开发 人 员 大 多 仅 学 会 了 编程 扩 妃 ,很 少 党 过 安全 能 力 与 意识 的 增 
训 , 不 了 解 安全 源 洞 的 成 因 \ 技 术 原 理 与 安全 人 危害 ,由 于 其 安全 开发 经 验 不 足 , 不 能 黑 好 地 
将 软件 安全 需求 .安全 特性 和 编程 方法 相互 结合 以 开发 安全 的 软件 ;而 项 目 开 发 管理 者 大 
多 人 缺 乏 软件 安全 开发 知识 ,不 了 解 软 件 安全 开发 的 管理 流程 和 方法 ,缺少 安全 部 普 评 审 过 
程 ,不 清楚 安全 开发 过 程 中 使 用 的 各 类 方法 和 思想 。 实 施 软 件 的 安全 开发 过 程 ,需要 开发 
团队 所 有 的 成 员 以 及 项 目 管理 者 都 具备 较 多 的 安全 知识 。 


5 软件 趋 回 大 型 化 ,第 三 万 扩展 增多 

现代 软件 功能 越 来 越 强 ,功能 组 件 越 来 越 多 且 越 来 越 复杂 ,操作 系统 的 代码 量 也 迅速 
增加 。 现 在 基于 网 络 的 应 用 系统 更 多 地 采用 了 分 布 式 、 集 群 和 可 扩展 染 构 , 软 件 应 用 同 可 
扩展 化 方 辐 发 展 ,成 熟 的 软件 也 可 以 接受 开发 者 或 第 三 方 的 扩展 ,使 系统 功能 得 到 扩充 。 
例如 ,Firefox 和 Chrome 训 览 融 文 持 第 三 方 捕 件 , Windows 操作 系统 文 持 动态 加 载 第 三 
方 驱动 程序 , Word 和 Excel 等 软件 支持 第 三 方 脚本 和 组 件 运行 ,等 等 。 然 而 这 些 可 扩展 
性 在 增加 软件 功能 的 同时 ,也 加 剧 了 软件 的 安全 问题 。 人 研究 显示 ,软件 狂 洞 的 增长 同 软件 
复杂 性 .代码 行 数 的 增长 成 正比 , 即 “ 代 码 行 越 多 ,缺陷 也 就 越 多 ”。 
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软件 开发 生命 周期 (Software Development Life Cycle, SDLC) 又 称 为 软件 生存 周 
期 或 系统 开发 生命 周期 ,是 软件 从 产生 和 卫 到 报废 的 生命 周期 ,其 中 包括 问题 定义 、 可 
行 性 分 析 ,总体 描述 .系统 设计 、 编 码 .调试 和 测试 .验收 与 运行 .维护 升级 .废弃 等 阶 
段 ,这 种 按时 间 划 分 阶段 的 思想 方法 是 软件 工程 中 的 一 种 思想 原则 , 印 按 部 融 班 、 逐 
步 推 进 ,每 个 阶段 都 要 有 和 定义 、 工作、 审查 ,最 终 形成 文档 以 供 交 流 或 备查 ,以 提高 软 
件 的 质量 。 

按照 软件 的 生命 周期 ,软件 开发 不 再 仅仅 强调 编码 ,而 是 概括 了 软件 开发 的 全 过 程 。 
软件 工程 要 求 每 一 阶段 工作 的 开始 必须 以 前 一 个 阶段 结果 正确 为 前 提 , 因 此 每 一 阶段 都 
是 按 “ 活 动 一 结 末 一 审核 一 活动 ……” 循 环 往 复 进 行 的 , 生 至 绪 采 正确 。 

从 概念 提出 的 那 一 刻 开 始 ,软件 产品 就 进入 了 软件 生命 周期 。 在 经 历 需 求 分 析 、 设 
计 、 实 现 、 部 署 后 ,软件 将 被 投入 使 用 并 进入 维护 阶段 ,下 到 最 后 由 于 缺少 维护 费用 而 逐渐 
废弃 。 这 样 的 一 个 过 程 称 为 生命 周期 模型 (life cycle model) 。 

典型 的 生命 周期 模型 包括 泽 布 模型 .迭代 模型 增 量 模型 快速 原型 模型 \ 螺 旋 模 型 、 
兆 室 模型 等 。 


1 瀑布 模型 

瀑布 模型 (waterfall model) 是 最 早出 现 的 软件 开发 模型 , 它 提供 了 软件 开发 的 基本 
框架 ,下 到 现在 仍然 是 软件 工程 中 应 用 最 广 沁 的 过 程 模型 。 其 核心 思想 是 按 工 友 将 问题 
简化 ,将 功能 的 实现 与 设计 分 开 , 便 于 分 工 协作 , 即 采 用 结构 化 的 分 析 和 放 计 方法 将 逻 指 
实现 与 物理 实现 分 开 。 

瀑布 模型 如 图 1-3 所 示 , 它 将 软件 生命 周期 划分 为 系统 需求 分 析 、 软 件 需求 分 析 、 初 
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图 1-3 瀑布 模型 
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步 设计 ,详细 设计 ,编码 及 调试 ,测试 .运行 和 维护 7 个 基本 活动 ,并 且 规定 了 它们 自 上 而 
下 、 相 互 衔接 的 固定 顺序 , 形 如 瀑布 ,过 级 下 落 。 

瀑布 模型 是 在 考虑 返回 先前 阶段 纠正 系统 错误 的 必要 性 的 情况 下 ,建立 软件 开发 过 
程 模型 的 第 一 次 全 面 的 答 试 。 然 而 这 个 模型 的 显 着 缺点 是 : 它 只 允许 开发 人 员 后 退 一 个 


阶段 。 瀑 布 模型 并 没有 对 开发 过 程 后 期 发 现 错误 时 的 处 理 方 法 作出 相应 的 规定 。 


2 迭代 模型 

迄 代 模型 是 统一 软件 开发 过 程 (Rational Unified Process, RUP) 推 荐 的 周期 模型 , 包 
括 产生 产品 发 布 ( 稳 定 .可 执行 的 产品 版 本 ) 的 全 部 开发 活动 和 要 使 用 该 产品 发 布 必需 的 
所 有 其 他 外 围 元 素 。 开 发 迭代 是 一 次 完整 地 经 过 所 有 工作 流程 的 过 程 ,包括 需求 工作 流 
程 、 分 析 设 计 工 作 流 程 .实施 工作 流程 和 测试 工作 流程 。 

迭代 模型 类 似 小 型 的 瀑布 项 目 ,但 相对 于 传统 的 瀑布 模型 ,迭代 过 程 降 低 了 在 一 个 增 
量 上 的 开 文 风险 。 如 采 开 发 人 员 重 复 茶 个 迭代 ,那么 损失 只 是 这 个 开发 有 误 的 迭代 的 花 
费 。 为 外 ,由 于 用 户 的 需求 在 一 开始 无 法 作出 完全 的 界定 ,而 是 在 后 续 阶 段 中 不 断 细 化 
的 ,因此 过 代 模型 更 能 适应 需求 的 变化 。 

每 一 次 迭代 都 会 产生 一 个 可 以 发 布 的 产品 ,这 个 产品 将 是 最 终 产 品 的 一 个 子 集 。 碗 
代 模 型 如 图 1-4 所 示 。 
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图 1-4 ”迭代 模型 


3 增 量 模型 

首 量 模型 融合 了 瀑布 模型 和 迭代 模型 的 特征 ,该 模型 来 用 随 着 日 程 时 间 的 进展 而 
交错 的 线性 序列 ,每 一 个 线性 序列 产生 软件 的 一 个 可 发 布 的 增 量 。 当 使 用 增 量 模型 
时 ,第 一 个 增 量 往往 是 核心 的 产品 , 即 第 一 个 增 量 实现 了 基本 的 需求 ,但 很 多 补充 的 特 
征 还 没有 发 布 。 客 户 对 每 一 个 增 量 的 使 用 和 评估 都 作为 下 一 个 增 量 发 布 的 新 特征 和 
功能 ,这 个 过 程 在 每 一 个 增 量 发 布 后 不 断 重 复 ,直到 产生 了 最 终 的 完善 产品 。 增 量 模 
型 如 图 1-5 所 示 。 

首 量 模型 与 原型 模型 和 其 他 演化 方法 一 样 ,在 本 质 上 是 迭代 的 ,但 是 与 原型 模型 不 一 
样 的 是 其 强调 每 一 个 增 量 均 发 布 一 个 可 操作 产品 。 早 期 的 增 量 不 一 定 在 最 终 产品 版 本 中 
体现 ,但 提供 了 为 用 户 服务 的 功能 ,并 且 为 用 户 提 供 了 评估 的 平台 。 
8 


量 
增 量 3 分 析 设计 编程 ~ 训 试 交付 3 





增 量 ? | 分 析 一 设计 
增 量 1 | | 分 析 | 设计 一 编程 一 交付 1 


图 1-5 增 量 模型 





























4 快速 原型 模型 

快速 原型 模型 又 称 原型 模型 , 它 是 增 量 模型 的 另 一 种 形式 。 快 速 原型 模型 是 在 开发 
真实 系统 之 前 构造 一 个 原型 ,在 该 原型 的 基础 上 逐渐 完成 整个 系统 的 开发 工作 。 例 如 , 客 
户 需要 一 个 ATM 软件 ,可 以 先 设计 一 个 仅 包 含 刷卡 、 密 码 检测 、 数 据 输入 和 账单 打印 的 
原型 软件 提供 给 客户 ,此 时 还 不 包括 网 络 处 理 与 数据 库存 取 以 及 数据 应 急 .故障 处 理 等 服 
务 。 采 用 快速 原型 模型 进行 开发 时 ,第 一 步 是 设计 一 个 快速 原型 ,实现 客户 与 系统 的 交 
互 ,客户 对 这 个 快速 原型 进行 评价 ,进一步 细 化 待 开发 软件 的 需求 。 通 过 逐步 调整 原型 ， 
使 其 满足 客户 的 要 求 , 开 发 人 员 可 以 确定 客户 的 真正 需求 是 什么 。 第 二 步 则 在 第 一 步 的 
基础 上 开发 客户 满意 的 软件 产品 。 

快速 原型 是 利用 原型 来 辅助 软件 开发 的 一 种 新 思想 。 经 过 简单 快速 分 析 , 快 速 实现 
一 个 原型 ,客户 与 开发 者 在 使 用 原型 过 程 中 加 强 沟通 与 反馈 ,通过 反复 评价 和 改进 原型 ， 
减少 误解 ,弥补 漏洞 ,适应 变化 ,最 终 提高 软件 质量 。 


5 螺旋 模型 

螺旋 模型 是 一 种 演化 软件 开发 过 程 模型 , 它 兼 顾 了 快速 原型 的 迭代 特征 以 及 瀑布 模 
型 的 系统 化 与 严格 监控 特征 。 蝶 诞 模型 最 大 的 特点 在 于 引入 了 其 他 模型 不 具备 的 风险 分 
析 ,使 软件 在 无 法 排除 重大 风险 时 有 机 会 停止 ,以 减 小 损失 。 同 时 ,在 每 个 迭代 阶段 构建 
原型 是 螺旋 模型 用 以 减 小 风险 的 途径 。 螺 旋 模 型 更 适合 大 型 的 . 昂 贯 的 系统 级 软件 开发 。 
螺旋 模型 如 图 1-6 所 示 。 

6 净 室 模型 

净 室 是 一 种 应 用 数学 与 统计 学 理论 ,以 经 济 的 方式 生产 高 质量 软件 的 工程 技术 。 它 
力图 通过 严格 的 工程 化 的 软件 过 程 实 现 开 发 中 的 去 缺陷 或 接近 去 缺 陷 。“ 净 室 " 一 词 源 目 
半导体 工业 中 硬件 生产 车 间 ,通过 严格 .清净 的 生产 过 程 可 以 预防 缺陷 的 产生 ,而 不 是 在 
事后 再 去 排除 故障 。 这 个 词 充分 显示 了 净 室 模型 “ 防 患 于 未 然 ? 的 主导 思想 。 

各 软件 生命 周期 模型 的 技术 特点 和 适用 范围 如 表 1-2 所 示 。 


代码 安全 


评估 方案 ， 识 别 解决 风险 


决定 目标 、 方 案 和 限制 


风险 分 析 
风险 分 析 
风险 分 析 、 
需求 ”一 、 | 可 运行 
计划 原型 1 | 原型 2 | 原型 
执行 ”需求 /软件 需求 | 产品 设计 | 详细 设计 
概念 ”概念 | 
: 编码 
开发 计划 需求 确认 
: | / 单元 测试 
计划 下 一 阶段 测试 计划 设计 确认 与 验证 集成 测试 ， 
CA 开发 、 验 证 下 一 级 产品 
交付 实现 
图 1-6 ”螺旋 模型 


模型 名 称 


瀑布 模型 


迭代 模型 


增 量 模型 


快速 原型 模型 


螺旋 模型 
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表 1-2 各 软件 生命 周期 模型 的 技术 特点 和 适用 范围 

适用 范围 
简单 ,分 阶段 ,阶段 间 存 在 因果 关系 ,各 个 阶 
段 完 成 后 都 有 评审 ,允许 反馈 ,不 支持 用 户 参 
与 ,要 求 预先 确定 需求 

不 要 求 一 次 性 地 开发 出 完整 的 软件 系统 ,将 
软件 开发 视 为 一 个 逐步 获取 用 户 需 求 、 完 善 | 需求 难以 确定 ,不断 变更 的 软件 系统 
软件 产品 的 过 程 


软件 产品 被 增 量 式 地 一 块 块 开发 出 来 ,允许 | 技术 风险 较 大 ,用户 需求 较为 稳定 的 
开发 活动 并 行 和 重 三 软件 系统 


需求 易于 完善 定义 且 不 易 变更 的 软件 


不 要 求 预先 完备 定义 需求 ,支持 用 户 参 与 , 文 
持 需 求 的 渐进 式 完 善 和 确认 ,能 够 适应 用 户 


需求 复杂 、 难 以 确定 \ 动 态 变 化 的 软件 


结合 瀑布 模型 .快速 原型 模型 和 迭代 模型 的 | 需求 难以 获取 和 确定 .软件 开发 风险 
思想 ,并 引进 了 风险 分 析 活 动 较 大 的 软件 系统 

净 室 技术 是 一 种 开发 高 质量 和 高 可 菲 性 软件 
的 方法 ,由 三 大 关键 技术 来 刻画 : 统计 过 程控 
制 下 的 增 量 开发 ,基于 函数 的 规范 .设计 和 验 
证 ,以 及 统计 测试 和 认证 


质量 要 求 非常 高 的 项 目 ; 软 件 开发 团 
队 需 要 具备 丰富 的 数学 知识 以 及 与 编 
程 语 言 和 开发 环境 相关 的 知识 和 经 验 


1.3 ”软件 安全 开发 模型 


随 看 信息 拉 术 的 融 速 发 展 和 企业 信息 化 步伐 的 深入 ,各 早 位 ,企业 在 利用 信息 技术 实 
现 其 日 标的 同时 也 变 得 越 来 越 依赖 于 信息 技术 。 以 银行 业 为 例 , 为 了 降低 运营 成 本 ,提高 
用 户 满 意 度 ,银行 普 届 利用 信息 技术 文 持 的 电话 银行 .ATM 太 网 络 银 行 系统 为 客 尸 提供 
个 性 化 , 老 开 化 的 服务 。 态 外 ,银行 也 在 不 断 利 用 信息 技术 收集 和 分 析 大 量 的 与 客户 有 头 
的 数据 和 信息 ,为 新 产品 开发 捉 优 决 肛 文 持 , 从 而 达到 提高 便利 水 平 的 目标 。 在 现在 的 企 
业 信息 环境 里 ,如 何 保证 信息 系统 以 及 信息 本 号 的 安全 性 已 变 得 至 关 重 要 。 在 今天 ,具有 
一 定 规 模 的 企业 的 IT 环境 里 往往 存在 看 少 则 几 百 个 、 多 则 上 和 干 个 大 大 小 小 的 业务 应 用 ， 
小 到 文 持 几 个 人 的 小 规模 团队 的 协同 应 用 ,大 到 贯 咎 于 一 个 企业 生产 、 经 昔 、 管 理 全 过 程 
的 企业 级 应 用 。 如 何 降低 信息 技术 给 企业 带 来 的 各 种 安全 风险 已 成 为 当今 所 有 企业 面临 

使 用 软件 安全 开发 模型 是 降低 企业 信息 安全 风险 的 一 种 有 效 方 法 。 它 从 软件 生命 周 
期 的 角度 ,对 安全 设计 原则 ,安全 开发 方法 、 最 佳 实 践 和 安全 专家 经 验 等 进行 总 结 , 通 过 各 
种 安全 活动 来 保证 尽 可 能 得 到 安全 的 软件 。 近 年 来 ,众多 软件 安全 开发 方法 和 模型 涌现 
出 来 ,比较 知名 的 有 微软 公司 的 安全 开发 生命 周期 \ 内 建安 全 成 熟 度 模型 软件 保证 成 熟 
度 模型 .综合 的 轻 量 应 用 安全 过 程 等 ,下 面 将 依次 进行 介绍 。 

由 于 微软 公司 的 安全 开发 生命 周期 模型 在 软件 的 需求 .设计 .开发 .测试 .发 布 . 部 署 
等 阶段 均 为 开发 人 员 提 供 了 有 价值 的 安全 指导 ,在 安全 千 控 胰 略 .角色 分 工 ` 安 全 设计 己 


部 署 标准 等 方面 均 发 展 得 十 分 成 熟 ,因而 本 节 也 按照 SDL 划分 的 软件 开发 阶段 进行 
讲述 


131 安全 开发 生命 周期 


安全 开发 的 涵盖 面 非常 三 ,涉及 人 员 ,流程 和 技术 等 诸多 方面 的 因 系 。 虽然 近 些 年 信 
明 安 全 受到 的 关注 越 来 越 多 ,企业 在 这 方面 的 投入 也 不 断 增加 ,然而 各 种 安全 事件 却 仍 然 
妓 出 不 穷 。 单 纯 的 技术 手段 已 经 无 法 帮助 企业 彻底 消除 存在 的 诸多 安全 问题 ,只 有 建立 
起 一 整套 安全 策略 和 流程 ,通过 合理 地 配置 资源 ,充分 利用 各 种 技术 和 非 拷 术 手 段 ,企业 
才 有 可 能 更 加 有 效 地 管理 各 类 安全 风险 。 

安全 开发 生命 周期 (Security Development Lifecycle;SDL) 是 微软 公司 提出 的 从 安全 
角度 指导 软件 开发 过 程 的 管理 模式 。SDL 基于 3 个 核心 概念 : 教育 ,持续 过 程 改 进 和 责 
任 。 通 过 对 软件 开发 小 组 中 的 技术 工作 角色 进行 持续 不 断 的 教育 ,定期 评估 SDL 过 程 ， 
并 随 关 新 技术 的 发 展 和 新 威胁 引入 应 对 措施 ,从 安全 汤 润 产生 的 根源 上 解决 问题 ,保证 产 
品 的 安全 性 。 人 怀 证 和 提高 应 用 安全 性 的 最 佳 时 机 是 在 应 用 的 开发 阶段 ,SDL 在 开发 的 所 
有 阶段 都 引入 了 安全 和 隐私 的 原则 。 自 2004 年 起 ,SDL 一 直 是 微软 在 全 公司 实施 的 强 
制 性 策略 。 

SDL 将 软件 开发 生命 周期 划分 为 7 个 阶段 ,并 提出 了 17 项 重要 的 安全 活动 ,如 图 1-7 
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) 培训 )) 要 求 )) 设计 )》 实施 ) 验证 ) 发 布 ) 响应 ) 


| 1 


上 本 要 求 | 而 定 设计 要 求 | 合用 批准 的 工具 | 动态 分 析 | 人 应 计划 | 


on) Bug 相 | 城 J 下 直面 | | fi ) 模 精 测试 | 最 络 全 评 折 | 执行 事件 | 


| [| / | | 1 响应 计划 | 
| ”安全 和 隐私 | | | We | sg | | | 
风险 评估 | | 威胁 建 模 | | 静态 分 析 | 攻击 面 评 析 | | 发 布 /存档 | | 


rr Eee 0 | | | 
二 下 


1-7 ”SDL 的 阶段 和 活动 


在 这 7 个 阶段 中 ,SDL 要 求 前 6 个 阶段 的 16 项 安全 活动 为 开发 团队 必须 成 功 完 成 的 
必需 安全 活动 ,这些 必需 活动 由 安全 和 隐私 专家 确认 有 效 , 并 且 会 作为 严格 的 年 度 评 售 过 
程 的 一 部 分 ,不 断 进行 有 效 性 评析 。 同 时 ,SDL 认为 开发 团队 应 保持 灵活 性 ,以 便 根 据 需 
要 ,选择 可 选 安 全 活动 ,如 人 工 代 码 评析 ,渗透 测试 .相似 应 用 程序 的 狂 洞 分 析 , 以 确 你 对 
某 些 软件 组 件 进行 更 高 级 别 的 安全 分 析 。 

下 面 介绍 这 7 个 阶段 的 主要 含义 和 目的 。 


1 培训 阶段 

培训 阶段 有 一 项 安全 活动 , 即 核心 安全 培训 。 

开发 团队 的 所 有 成 员 都 必须 进行 安全 意识 与 能 力 的 培训 ,了 解 相 关 的 安全 知识 ,以 确 
保 SDL 能 有 效 实 施 , 同 时 能 针对 新 的 安全 问题 与 形式 持续 提升 团队 的 能 力 。 培 训 对 象 包 
括 开 发 人 员 测试 人 员 项目 经 理 .产品 经 理 等 。 


2 要 求 阶段 
要 求 阶段 有 以 下 3 项 安全 活动 : 
(1) 确定 安全 要 求 。 在 项 目 确 立 之 前 ,需要 提前 与 项 目 经 理 进行 沟通 ,确定 安全 要 求 
和 需要 做 的 事情 。 确 认 项 目 计 划 和 里 程 碑 ,尽量 避免 因为 安全 问题 而 导致 项 目 延 期 发 布 。 
(2) 创建 质量 门 /Bug 栏 。 质 量 门 和 Bug 栏 用 于 确定 安全 和 隐私 质量 的 最 低 可 接受 
级 别 。Bug 栏 是 应 用 于 整个 开发 项 目的 质量 门 ， ionamin 例如 ， 
应 用 程序 在 发 布 时 不 得 包含 具有 ”关键 ?或 “重要 ?评级 的 已 知 漏洞 。Bug 栏 一 经 设 定 , 便 
绝 不 能 放松 。 
(3) 安全 和 隐私 风险 评 值 。 安 全 风险 评估 和 隐私 风险 评估 必须 包括 以 下 信息 : 
项 目的 哪些 部 分 在 发 布 前 需要 建立 威胁 模型 ? 
项 目的 哪些 部 分 在 发 布 前 需要 进行 安全 设计 评析 ? 
项 目的 哪些 部 分 需要 不 属于 项 目 团 队 且 双方 认可 的 小 组 (团队 ) 进 行 渗透 测试 ? 
是 否 存在 安全 顾问 认为 有 必要 增加 的 测试 或 分 析 ? 
模糊 测试 要 求 的 具体 范围 是 什么 ? 
隐私 内 容 对 评级 有 哪些 影响 ? 
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第 1 草 软件 安全 开发 基础 


3 设计 阶段 

设计 阶段 通过 分 析 攻 击 面 ,设计 相应 的 功能 和 策略 ,降低 和 减少 不 必要 的 安全 风险 。 
同时 通过 威胁 建 模 ,分 析 软 件 或 系统 的 安全 威胁 ,提出 缓解 措施 。 

该 阶段 包括 以 下 3 项 安全 活动 : 

(1) 确定 安全 要 求 。 在 设计 阶段 应 仔细 考虑 安全 和 隐私 问题 ,在 项 目 初期 确定 安全 
需求 , 尽 可 能 避免 由 于 安全 问题 引起 的 需求 变更 。 

(2) 减 小 攻击 面 。 该 任务 与 威胁 建 模 紧密 相关 ,不 过 它 解决 安全 问题 的 角度 稍 有 不 
同 。 减 小 攻击 面 通过 减 小 攻击 者 利用 潜在 弱点 或 漏洞 的 机 会 来 降低 风险 ,具体 包括 以 下 
措施 : 关闭 或 限制 对 系统 服务 的 访问 ,应 用 “最 小 权限 原则 ”, 以 及 尽 可 能 进行 分 层 防御 ，。 

(3) 威胁 建 模 。 为 项 目 或 产品 面临 的 威胁 建立 模型 ,明确 攻击 可 能 来 自 哪 些 方面 。 

4 实施 阶段 

在 该 阶段 ,开发 人 员 按 设计 要 求实 现 相应 的 功能 和 策略 ,同时 通过 安全 编 色 和 至 用 不 
安全 API 来 减少 实施 时 导致 的 安全 问题 ,不 引入 编码 级 安全 漏洞 ,并 通过 代码 审计 等 措 
施 确保 安全 编码 规范 的 实行 。 

该 阶段 包括 以 下 3 项 安全 活动 : 

(1) 使 用 批准 的 工具 。 开 发 团队 使 用 的 编辑 需 、 链 接 硕 等 相关 工具 可 能 会 涉及 一 些 

与 安全 相关 的 环节 ,因此 在 使 用 工具 的 版 本 上 需要 提前 与 hoteley 
(2) 径 用 不 安全 的 图 数 。 许 多 第 用 函数 可 能 存在 安全 隐患 ,应当 茶 用 不 安全 的 函数 
API, 使 用 安全 团队 推荐 的 函数 。 
(3) 静态 分 析 。 代 码 静 态 分 析 可 以 由 相关 工具 辅助 完成 ,并 与 人 工分 析 相 结 


5 验证 阶段 

在 该 阶段 ,通过 安全 测试 的 手段 检测 软件 的 安全 漏洞 ,并 全 面 核查 攻击 面 , 确 认 各 个 
关键 因 系 上 的 威胁 缓解 措施 是 否 得 以 正确 实现 。 

该 阶段 包括 以 下 3 项 安全 活动 : 

(1) 动态 分 析 。 动 态 分 析 是 静态 分 析 的 补充 ,用 于 在 测试 环节 验证 程序 的 安全 性 。 

(2) 模糊 测试 。 这 是 一 种 专门 形式 的 动态 分 析 , 它 通过 故意 回应 用 程序 引入 不 恨 格 
式 或 随机 数据 来 诱发 程序 故障 。 模 糊 测 试 策 略 的 制定 以 应 用 程序 的 预期 用 途 、 功 能 和 设 
计 规 范 为 基础 。 安 全 顾问 可 能 要 求 进行 折 外 的 模 革 测 试 , 或 者 扩大 模糊 测试 的 范围 和 增 
加 持续 时 间 。 

(3) 威胁 模型 和 攻击 面 评 析 。 项 目 经 第 会 因为 需求 等 因素 导致 最 终 的 产 出 偏离 原本 
设 定 的 日 标 , 因 此 在 项 目 后 期 对 威胁 模型 和 攻击 面 进行 评析 是 有 必要 的 ,能 够 及 时 发 现 问 
题 并 加 以 修正 。 


6 发 布 阶段 
在 该 阶段 ,建立 事件 啊 应 计划 ,进行 最 终 安全 评析 ,并 完善 相应 的 安全 指导 文档 以 提 
交 给 用 户 使 用 。 


该 阶段 包括 以 下 3 项 安全 活动 : 


代码 安全 


(1) 事件 响应 计划 。 受 SDL 要 求 约束 的 每 个 软件 在 发 布 时 都 必须 包含 事件 响应 计 
划 。 即 使 在 发 布 时 不 包含 任何 已 知 漏洞 的 产品 ,也 可 能 在 日 后 过 到 新 出 现 的 威胁 。 需 要 
注意 的 是 ,如 有 果 产 品 中 包含 第 三 方 的 代码 ,也 需要 留 下 第 三 方 的 联系 方式 并 加 入 事件 啊 应 
计划 ,以便 在 出 现 问题 时 能 够 找到 对 应 的 人 。 

(2) 最 终 安 全 评析 。 在 发 布 之 前 仔细 检查 对 软件 执行 的 所 有 安全 活动 。 

(3) 发 布 /存档 。 在 通过 最 终 安全 评析 后 ,或 者 里 有 问题 ,但 达成 一 致 后 ,可 以 完成 产 
品 的 发 布 。 发 布 的 同时 宕 要 对 各 种 问题 和 文档 进行 存档 ,为 紧急 啊 应 和 产品 升级 提供 
扣 助 。 

7 响应 阶段 

在 该 阶段 ,响应 安全 事件 与 漏洞 报告 ,实施 漏洞 修复 和 应 急 响 应 。 同 时 发 现 新 的 问题 
与 安全 问题 模式 ,学 习 新 的 知识 ,将 它们 用 于 SDL 的 持续 改进 过 程 中 。 

该 阶段 有 一 项 安全 活动 , 即 执行 事件 啊 应 计划 。 


132 内 建安 全 成 熟 度 模 型 


内 建安 全 成 熟 度 模型 (Building Security In Maturity Model, BSIMM) 是 通过 对 多 个 
软件 公司 的 软件 安全 项 目 进 行 妍 究 而 得 到 的 模型 ,该 模型 对 不 同 软 件 安 全 项 目 所 采取 的 
措施 和 实践 进行 量化 ,描述 其 共性 和 各 目的 特点 。 

很 多 软件 公司 一 方面 希望 能 构建 功能 强大 而 又 安全 的 软件 , 男 一 方面 却 不 知道 该 如 
何 构建 ,没有 其 他 公司 的 最 佳 实践 作为 参考 。 针 对 此 问题 ,BSIMM 通过 分 析 多 个 真实 的 
软件 安全 项 目的 实践 数据 ,提炼 出 这 些 软件 公司 和 软件 项 目 中 的 共同 特点 ,帮助 更 多 的 软 
件 公司 对 其 项 目 进行 安全 规划 ,实现 和 评测 。 因 为 BSIMM 中 分 析 的 原始 数据 来 自 当前 
国际 上 很 多 者 名 的 大 型 公司 ,包括 美国 银行 (Bank of America)、 类 国 第 一 贤 本 银行 
(Capital One) 、 微 软 (Microsoft) ,谷歌 (Google) .更 特 尔 (Intel) 以 及 赛 门 铁 克 (Symantec ) 
等 ,所 以 其 分 析 结 果 体现 了 当今 业界 软件 安全 技术 的 领先 水 平 , 具 有 一 定 的 可 信赖 度 。 

例如 ,BSIMM 5 的 软件 安全 框架 (software security framework) 描 述 了 软件 安全 开 
发 的 4 个 领域 .12 项 实践 ,具体 如 图 1-8 所 示 。 
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1-8 ”BSIMM 的 软件 安全 框架 
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(1) 治理 (governance) 。 带 助 组织 .管理 和 衡量 软件 安全 措施 ,员工 的 发 展 增 训 也 是 
治理 的 核心 实践 之 一 。 治 理 领 域 包括 荣 略 和 上 度量、 履约 和 束 略 以 及 培训 3 项 基本 实践 。 

(2) 信息 /情报 (Cintelligence) 。 收 集 使 软件 安全 措施 应 用 于 整个 组 织 的 知识 ,收集 内 
容 包括 主动 安全 指导 和 组 织 威胁 建 模 。 信 息 / 情 报 领 域 包括 攻击 模式 、 安 全 特征 和 设计 以 
及 标准 和 需求 3 项 基本 实践 。 

(3) SSDL 接触 点 (SSDL touchpoint) 。SSDL 意 为 软件 安全 开发 生命 周期 。SSDL 
接触 点 领域 分 析 和 保障 特定 软件 开发 工具 和 过 程 , 包 括 各 种 软件 安全 方法 。SSDL 接触 
点 领域 包括 结构 分 析 、 代 码 审 计 与 安全 测试 3 项 基本 实践 。 

(4) 部 普 (deployment) 。 解 决 软件 配置 .维护 以 及 其 他 对 软件 的 安全 性 有 下 接 影 啊 
的 环境 问题 。 部 普 领 域 包括 渗透 测试 .软件 环境 .配置 管理 和 泪 洞 管理 3 项 基本 实践 。 


133 软件 保证 成 熟 度 模型 


软件 保证 成 刚度 模型 (Software Assurance Maturity Model,SAMM) 提供 了 一 个 开 
放 的 框架 ,用 以 帮助 组 织 和 企业 制定 并 实施 有 关 软 件 安 全 的 特定 风险 策略 。SAMM 于 
2009 年 正式 发 布 1.0 版 本 ,日 前 由 OWASP(Open Web Application Security Project, 开 
放 Web 应 用 安全 项 目 ) 组 织 作为 一 个 开放 的 项 目 来 维护 。SDL 一 般 适 用 于 软件 开发 商 ， 
它们 以 开发 软件 为 主要 业务 ,其 软件 开发 技术 较 成 束 , 有 严格 的 质量 控制 。 而 与 SDL 相 
比 ,SAMM 更 适用 于 自主 研发 软件 的 组 织 ,如 银行 、 在 线 服 务 提供 商 等 ,它们 更 强调 效率 。 

SAMM 目的 : 

。 评 佑 一 个 组 织 已 有 的 软件 安全 实践 。 

。 pe 

。 证 明 安 全 剑 证 计划 市 来 的 实质 性 改善 。 

。 定义 并 衡量 组 织 中 与 安全 相关 的 措施 。 

SAMM 规定 了 软件 开发 过 程 中 的 4 个 核心 业务 功能 ,包括 治理 ,构造 .确认 以 及 部 
眶 ,这 4 个 业务 功能 各 包括 3 项 安全 实践 。SAMM AAS 机 个 与 安全 相关 的 
措施 ,以 便 保证 相关 业务 功能 的 实现 。 所 以 ,从 总 体 来 说 ,这 12 项 安全 实践 都 是 改进 软件 
开发 业务 功能 的 独立 部 分 。 具 体 如 下 : 

(1) 治理 。 专 注 于 软件 开发 企业 组 织 管理 其 软件 安全 开发 相关 的 过 程 活动 和 措施 ， 
主要 包括 战略 与 度量 、 宋 略 与 体 循 、 培 训 与 指导 3 项 安全 实践 。 

(2) 构造 。 关 注 软 件 安全 开发 中 需求 .目标 和 染 构 方面 的 过 程 、 活 动 和 措施 ,主要 包 
括 威胁 评估 、 安 全 需求 和 安全 架构 3 项 安全 实践 。 

(3) 确认 。 注 重 软件 检查 和 测试 中 的 过 程 、 活 动 和 指 施 ,主要 包括 设计 审查 .代码 审 
查 和 安全 测试 3 项 安全 实践 。 

(4) 部 普 。 强 调 软件 发 布 和 部 普 配 置 时 相关 的 过 程 、 活 动 和 措施 ,主要 包括 洗 洞 管 
理 .环境 加 固 和 操作 激活 3 项 安全 实践 。 

SAMM 的 总 体 框架 如 图 1-9 所 示 。 

对 于 每 一 项 安全 实践 ,SAMM 设置 了 3 个 成 熟 度 等 级 和 1 个 隐 舍 的 零 起 点 。 它 们 的 
细 方 对 不 同 实践 有 所 不 同 , 但 它们 普 壳 代表 的 含义 如 下 : 
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图 1-9 SAMM 的 总 体 框架 


0: 隐 含 的 0 起 点 ,代表 实际 没有 实现 该 安全 实践 。 

1; 对 安全 实践 有 了 初步 了 解 并 有 专门 的 设计 和 运用 。 

2: 进一步 提高 了 安全 实践 的 效率 和 有 效 性 。 

3: 在 一 定 规模 上 综合 .有效 地 掌握 并 运用 了 安全 实践 。 

对 于 某 个 特定 的 软件 开发 项 目 或 软件 开发 企业 ,使 用 SAMM 对 其 进行 评估 时 有 两 
种 推荐 的 评估 方法 ， 

(1) 简单 方法 。 对 每 一 项 安全 实践 进行 评估 ,并 为 得 到 的 评估 结果 评定 分 数 。 

(2) 详细 方法 。 对 每 一 项 安全 实践 进行 评估 后 ,再 执行 额外 的 审计 工作 ,以 确保 每 个 
安全 实践 中 规定 的 每 一 项 措施 都 已 执行 , 且 已 达到 成 功 指标 。 

软件 开发 企业 可 以 以 SAMM 为 基准 来 衡量 其 软件 安全 保证 计划 。 通 过 使 用 评估 和 
记分 卡 ,软件 开发 企业 能 够 证 明 其 软件 安全 性 得 到 循序 渐进 的 改善 。 软 件 开发 企业 还 可 
以 参考 SAMM 路 线 图 模板 ,以 建立 或 改善 一 个 软件 安全 保证 计划 ， 


134 综合 的 轻 量 应 用 安全 过 程 


综合 的 轻 量 应 用 安全 过 程 (Comprehensive Lightweight Application Security 
Process,CLASP) 最 初 由 安全 软件 公司 (Secure Software，Inc. ) 提 出 ,后 来 由 OWASP 宛 

CLASP 是 一 个 用 于 构建 安全 软件 的 轻 量 过 程 ,包括 由 30 个 特定 的 活动 和 辅助 资源 
构成 的 集合 ,用 于 提升 整个 开发 团队 的 安全 意识 ,并 针对 这 些 活动 给 出 了 相应 的 指南 、 叶 
则 和 检查 列表 。 它 使 企业 能 够 使 用 简便 .快捷 而 系统 的 流程 开发 出 安全 的 软件 产品 ,并 且 
也 能 够 和 多 种 软件 开发 模型 相 结 合 。 

CLASP 的 主要 特点 是 其 安全 活动 基于 角色 安排 。 它 强调 安全 开发 过 程 中 的 角色 和 
职责 ,软件 开发 不 同 阶段 的 安全 活动 需要 指派 不 同 的 角色 负责 和 人 参与。 这 些 角 色 包 括 项 
日 经 理 (Project Managers) 需求 专家 (了 人 Requirements Specifiers)、 软 件 架 构 师 (Software 
Architects) ,设计 者 (Designers) .实施 人 员 (Implementers) ,集成 和 编译 人 员 (Integrator 
and Assemblers)、 测试 者 和 测试 分 析 师 (Testers and Test Analysts)、 安 全 审计 员 
(Security Auditors)。 对 于 每 一 项 基于 角色 的 安全 活动 ,CLASP 部 对 以 下 问题 进行 了 
描述 . 
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。 安全 活动 应 该 在 什么 时 间 以 及 如 何 实施 ? 

。 如 果 不 进行 这 项 安全 活动 ,将 会 市 来 多 大 的 风险 ? 

。 如 果实 施 这 项 安全 活动 ,估计 和 需要 多 少 成 本 ? 

CLASP 的 主要 目标 是 支持 构建 安全 处 于 中 心地 位 的 软件 ,其 安全 活动 大 都 从 安全 理 
论 的 角度 定义 和 构思 ,因此 ,安全 活动 的 履 盖 面相 当 广 泛 。 同 时 ,CLASP 通过 一 些 安全 最 
佳 实践 将 安全 属性 以 一 种 结构 化 .可 重复 和 可 测量 的 方式 整合 进 软件 开发 企业 的 现 有 或 
者 将 要 展开 的 软件 开发 生命 周期 中 。 其 相互 独立 的 安全 活动 以 结构 化 组 织 的 方式 集成 到 
开发 过 程 和 运行 环境 中 。 为 了 保持 灵活 性 ,对 要 执行 的 安全 活动 及 其 执行 顺序 的 选择 是 
开放 的 ,不 同 开发 者 可 以 目 行 裁剪 以 适应 待 开 发 产品 的 实际 情况 。 


1.4 ”人员 角色 规划 


随 看 软件 规模 的 不 断 脱 胀 ,软件 开发 人 员 的 组 织 和 分 工 也 变 得 越 来 越 复 洒 , 对 软件 开 
发 人 员 如 何 合理 地 进行 组 织 和 分 工 越 来 越 成 为 一 个 产品 能 否 成 功 开发 的 决定 性 因素 。 人 
员 角 人 色 规 划 主 要 从 人 员 角 色 设 置 安全 开发 培训 、 安 全 开发 过 程 管 理 等 方面 将 SDL 运用 
于 软件 开发 生命 周期 ,提高 开发 人 员 的 安全 意识 ,整合 安全 开发 流程 ,提升 软件 产品 质量 。 

对 于 软件 安全 开发 来 说 ,参与 人 员 角 色 通 党 有 以 下 几 种 . 

(1) 管理 层 。 企 业 安 全 束 略 的 推进 需要 管理 层 的 大 力 支 持 。 为 了 更 好 地 进行 软件 安 
全 开发 , 仙 贡 推进 软件 安全 开 友 的 主 省 领导 应 由 信息 部 门 的 官 理 层 菩 任 ,以 利于 流程 的 上 

(2) 软件 安全 团队 。 这 是 保证 软件 安全 开发 的 基础 ,在 局 动 软件 开发 生命 周期 各 阶 
段 安全 活动 之 前 应 组 建 一 个 软件 安全 团队 ,否则 无 法 成 功 执行 各 项 安全 活动 。 软 件 安全 
团队 负责 解决 下 列 问 题 : 安全 活动 应 该 在 什么 时 间 实 施 以 及 如 何 实施 ? 如 采 不 进行 这 项 
安全 活动 ,将 会 市 来 多 大 的 风险 ?如 来 实施 这 项 安全 活动 , 信 计 需要 多 少 成 本 ? 

(3) 业务 人 员 。 该 角色 在 传统 需求 分 析 的 基础 上 融入 安全 性 考量 ,进行 安全 需求 

(4) 染 构 师 及 开发 人 员 。 染 构 师 需要 在 整个 过 程 中 对 技术 活动 和 工件 进行 领导 和 协 
调 , 确 立 架构 图 的 整体 结构 。 开 发 人 员 在 进行 开发 前 应 接受 安全 培训 ,在 开发 过 程 中 应 遵 
循 安全 编码 规范 ,安全 开发 ,从 根本 上 减少 软件 安全 问题 。 

(5) 测试 人 员 。 负 责 使 用 相关 工具 或 方法 对 系统 进行 功能 测试 .性 能 测试 和 安全 测 
试 , 其 中 包括 设置 和 执行 测试 . 评 佑 测试 过 程 并 修改 错误 ,以 及 评 佑 测试 结 采 并 记录 所 发 
现 的 缺陷 等 工作 。 

(6) 其 他 人 员 。 包 括 广 商 `. 运 维 人 员 等 。 对 这 些 人 员 也 需 进 行 安 全 开发 增 训 ,以 增强 
其 软件 安全 开发 意识 。 


3 
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同 传统 的 软件 开发 过 程 一 样 ,安全 需求 分 析 在 软件 安全 开发 过 程 中 也 征 必 不 可 少 的 
一 个 过 程 。 安 全 需求 分 析 阶 段 的 一 个 很 小 的 改进 可 能 会 市 来 很 高 的 回报 率 。 在 软件 需求 
定义 和 分 析 完 成 后 , 即 进入 软件 设计 阶段 ,设计 的 好 坏 将 直接 影 啊 软 件 产 品 的 质量 和 用 户 
对 最 终 软 件 产品 的 满意 程度 。 本 草 痛 完 介 绍 实 全 需求 的 定义 和 分 析 方 法 ,其 次 介绍 设计 
阶段 安全 设计 的 原则 和 方法 ,最 后 介绍 威胁 建 模 。 


2 1 安全 需求 概述 
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随 春 新 技术 的 应 用 与 发 展 , 现 在 的 软件 系统 越 来 越 复 杂 , 用 户 对 软件 的 功能 .性 能 以 
及 安全 性 的 要 求 越 来 越 高 , 仅 通过 传统 的 需求 分 析 方 法 来 了 解 、 描 述 软件 性 能 已 远 远 不 
够 ,在 需求 分 析 阶 段 融和 人 安全 需求 分 析 方 法 更 能 满足 用 户 真 实 的 安全 需求 ,并 可 以 减少 后 

一 般 最终 的 软件 需求 规格 说 明 是 由 功能 性 需求 . 非 功能 性 需求 和 约束 构成 的 。 在 安 
全 需求 的 定义 中 ,最 广 沁 的 一 种 观点 是 将 安全 需求 看 作 非 功能 性 需求 ,是 产品 功能 摘 述 的 
补充 ,从 安全 方面 描述 产品 的 各 种 特性 ;有 的 观点 将 安全 需求 看 作 与 业务 功能 需求 同等 重 
要 的 安全 功能 需求 , 它 是 开发 人 员 必 须 实现 的 软件 功能 ,并 对 业务 功能 需求 具有 约束 力 ; 
还 有 的 观点 使 用 安全 策略 或 质量 需求 来 定义 安全 需求 。 当 开发 一 个 新 的 安全 信息 系统 
时 ,开发 人 员 在 安全 需求 分 析 阶 段 需 要 解决 以 下 问题 : 系统 的 安全 目标 是 什么 ,系统 应 该 
提供 什么 样 的 安全 服务 ,工作 将 受到 什么 条 件 约束 ,等 等 。 

软件 安全 需求 是 为 保障 实现 业务 功能 而 对 相关 信息 的 机 密 性 、 完 整 性 和 可 用 性 提出 
的 要求 ,一般 通过 3 个 属性 来 描述 对 于 数据 和 信息 计算 服务 的 基本 安全 目标 ， 

(1) 可 信 性 (confidentiality) , 指 保护 敏感 信息 不 被 未 授权 用 户 访问 ， 

(2) 完整 性 (integrity) , 指 保 护 数据 不 被 更 改 或 破坏 。 

(3) 可 用 性 (availability) , 指 确 保 资 源 被 授权 的 用 户 使 用 。 

在 定义 安全 需求 时 ,应 在 安全 系统 的 开发 人 员 和 提出 需求 的 用 户 之 间 建 立 起 一 种 理 
解 和 沟通 的 机 制 , 以 一 种 清晰 简洁、 一 致 旦 无 二 义 性 的 方式 ,对 一 个 竺 开发 的 安全 系统 中 
各 个 有 意义 的 方面 进行 陈述 。 安 全 需求 分 析 中 应 包 舍 足够 多 的 信息 ,以 使 开发 人 员 能 够 
编 与 一 个 满足 用 户 真 实 的 安全 需求 的 系统 。 
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安全 需求 分 析 应 遵循 以 下 原则 ， 

(1) 依据 标准 。 为 了 保证 需求 分 析 的 质量 ,安全 人 员 需 要 充分 参考 、 利 用 现 有 的 技术 
标准 来 衡量 和 判断 系统 有 哪些 安全 要 求 。 

(2) 分 层 分 析 。 安 全 需求 分 析 涉 及 策略 .体系 结构 .技术 ,管理 等 各 个 层次 的 工作 , 通 
过 分 层 分 析 得 出 的 结果 更 加 完备 .可 菲 。 

(3) 结合 实际 。 安 全 需求 分 析 需 要 针对 具体 的 信息 系统 环境 进行 ,所 有 工作 的 开展 
必须 建立 在 实际 环境 基础 之 上 。 在 不 同 环境 中 ,安全 需求 分 析 的 结果 是 不 同 的 。 

212 安全 需求 的 标准 

系统 对 安全 方面 的 需求 有 很 多 ,涉及 得 开发 系统 的 功能 ,性 能 和 约束 等 各 个 方面 的 内 
容 。 为 了 更 好 地 规范 安全 需求 ,国际 组 织 和 各 国 制定 了 一 系列 币 用 的 安全 标准 供 开 发 人 
员 参 考 ,例如 《信息 技术 安全 技术 应 用 安全 》(ISOVIEC 27034) 《信息 技术 软件 安全 保障 
规范 》CGB/T 30998 一 2014) .功能 安全 基础 标准 IEC 61508、 信 息 拉 术 安 全 性 认证 通用 标 
准 (CC 标准 ) 等 ,本 市 束 CC 展开 摘 述 。 

《信息 技术 安全 评 佑 通用 标准 》(Common Criteria for Information Technology 
Security Evaluation, 简称 CC) 的 原则 是 基于 对 系统 安全 可 信和 度 的 评 佑 提供 安全 保障 。 
CC 将 安全 需求 划分 为 安全 功能 需求 (security functional requirements) 和 安全 保障 需求 
(security assurance requirements) 两 个 独立 的 范畴 来 定义 。 

安全 功能 需求 描述 的 是 安全 系统 应 该 提供 的 安全 功能 。 开 发 人 员 在 确定 系统 的 安全 
需求 和 安全 目标 时 ,可 以 参照 CC 第 二 部 分 “安全 功能 要 求 ” 中 已 定义 的 安全 审计 (FAU)、 
通信 /不 可 抵赖 (FCO) 密码 支持 (FCS)、 用 户 数 据 保护 (FDP) .标识 和 鉴别 (FIA) .安全 
管理 (FMT) 等 ,根据 不 同情 况 裁剪 开发 系统 所 需 具 备 的 安全 功能 ,开发 人 员 通 过 参考 CC 
的 安全 功能 需求 类 别 可 以 有 效 防 止 开发 完成 的 系统 存在 安全 组 件 缺 失 和 踪 汤 的 情况 。 

安全 保障 需求 描述 的 是 安全 可 信和 度 及 为 获取 一 定 的 可 信和 度 而 应 该 采取 的 措施 。CC 
第 三 部 分 “安全 保障 要 求 ” 中 定义 了 10 个 类 别 的 安全 保障 要 求 , 包 括 保护 轮廓 评 佑 
(APE) .安全 目标 评 佑 (ASE) .配置 管理 (ACM) 交付 和 运行 (ADO) 开发 (ADV) ,指导 
性 文档 (AGD)、 生 命 周 期 支持 (ALC)、 测 试 (ATE)、 脆 弱 性 评估 (AVA) 和 保障 维护 
(AMA)。 这 10 个 安全 保障 需求 类 别 有 助 于 开发 人 员 提 高 开发 系统 的 安全 保障 能 力 , 减 
少 系统 出 现 脆弱 性 的 可 能 性 ,降低 有 意 利用 或 无 意 触 发 脆弱 性 的 可 能 性 以 及 由 被 触发 的 
脆弱 性 导致 的 破坏 程度 。 

此 外 ,CC 给 出 了 一 套 评价 系统 安全 可 信 度 的 指标 一 一 安全 保障 级 别 (EVL)。EVL 
通过 安全 系统 在 构造 管理 .发行 与 操作 、 开 发 .指南 文档 .生命 周期 文 持 .测试 和 脆弱 性 评 
佑 等 方面 所 采取 的 措施 来 确定 系统 的 安全 可 信和 度 。EVL1 一 EAL7 对 开发 系统 的 安全 要 
求 不 断 增加 ,通过 确定 需要 的 EAL 保障 级 别 , 在 开发 中 参考 使 用 并 在 开发 结束 后 展开 相 
应 测评 ,可 极 大 地 提高 软件 的 安全 性 。 

除了 EAL 这 一 定性 的 评价 指标 外 ,可 以 用 于 评价 系统 安全 保障 程度 的 指标 还 有 很 
多 ,尤其 是 一 些 定量 指标 (例如 系统 的 病毒 感染 率 和 平均 失效 时 间 等 ), 对 用 户 来 说 更 加 下 
观 ,更 加 易于 理解 ,在 现 有 的 评价 安全 保障 程度 的 定量 指标 中 ,安全 风险 值 是 当前 较为 流 
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行 ,也 是 比较 成 熟 的 一 种 指标 。CC 中 既 没 有 排斥 也 没有 评价 这 些 指标 , 待 这 些 定量 指标 
的 计算 和 评价 方法 进一步 成 熟 之 后 ,用 户 对 这 些 定量 指标 的 要 求 也 将 被 纳入 对 系统 的 安 
全 保障 需求 中 。 


2.2 ”安全 需求 分 析 万 法 


221 安全 需求 分 析 过 程 


安全 需求 分 析 征 一 个 不 断 发 展 的 过 程 , 不 会 有 一 务 永 逸 的 分 析 结 未 。 由 于 数据 的 不 
确定 性 和 环境 的 不 断 变 化 ,要 想 保 持 分 析 结 来 的 有 效 性 ,对 安全 需求 的 内 容 宕 要 不 断 地 进 
行 修正 ,以 保证 结 采 时 刻 最 新 。 在 早期 的 开发 实践 中 将 宕 求 工 程 作为 项 目 开发 初期 的 活 
动 。 随 者 近年 来 需求 分 析 在 软件 开发 过 程 中 重要 性 的 提高 ,需求 分 析 已 经 成 为 一 个 持续 
的 过 程 ,跨越 整个 项 目的 生存 周期 ,以 最 终 指导 系统 安全 保障 措施 的 实施 。 

总 体 来 说 ,软件 安全 需求 的 分 析 过 程 有 以 下 几 个 基本 步骤 。 


1 系统 调查 

了 解 系统 所 处 的 安全 环境 (存在 于 系统 边界 之 外 并 对 系统 的 安全 有 具有 潜在 的 或 耳 接 
影响 的 所 有 因素 ) 及 其 他 与 安全 相关 的 信息 ,例如 用 户 、 组 成 部 件 、 运 行 机 制 及 与 其 他 系统 
的 连接 情况 每。 在 此 基础 上 确定 需要 保护 的 资产 ,其 中 可 能 包括 人 刹 件 软件 数据、 文档 和 
计算 机 服务 等 ,并 评价 各 个 资产 的 相对 价值 。 


2 分 析 系 统 的 脆弱 点 和 安全 威胁 

这 一 步 的 目标 是 确定 系统 骏 吝 的 各 种 脆弱 点 及 面临 安全 威胁 的 可 能 性 。 通 过 分 析 
系统 环境 和 第 见 脆 昼 点 确定 系统 脆 罚 点 。 在 系统 的 脆 罚 点 锌 确定 后 ,开发 人 员 需 要 对 
对 每 个 脆弱 点 分 别 定 性 和 定量 地 分 析 由 此 可 能 引发 的 安全 威胁 及 其 对 资产 可 能 造成 
损害 的 程度 。 对 脆弱 点 和 安全 威胁 的 可 能 性 进行 估算 是 非常 困难 的 ,因为 这 种 可 能 性 
与 当前 采用 的 安全 措施 和 所 处 的 安全 环境 有 关 。 目 前 主要 采用 概率 统计 的 方法 ,通过 
分 析 操 作 日 志 、 局 部 入侵 的 统计 和 用 户 的 投诉 等 数据 ,进一步 计算 出 系统 承受 的 安全 
风险 但 。 


3 需求 的 确定 

安全 需求 分 析 的 最 后 一 个 阶段 将 定性 分 析 和 定量 分 析 的 结果 结合 起 来 以 定义 信息 系 
统 的 安全 需求 ,开发 人 员 由 此 确定 需要 实施 的 相应 的 安全 措施 ,为 信息 系统 提供 有 效 而 且 
合理 的 安全 保障 。 


222 ”安全 需求 分 析 的 沿用 方法 
目前 应 用 的 安全 需求 分 析 方 法 大 多 是 对 传统 需求 分 析 方 法 的 扩展 , 即 在 传统 需求 分 
析 过 程 中 融入 安全 性 考量 。 本 市 主要 介绍 滥用 案例 、 滥 用 框架 和 安全 质量 需求 工程 
(Security Quality Requirements Engineering, SQUARE) 这 3 种 和 营 用 的 安全 需求 分 析 方 法 。 
20 


第 2 章 软件 安全 需求 与 设计 


1 滥用 双 例 

滥用 案例 (abuse case) 是 在 传统 的 需求 分 析 方 法 用 例 上 的 安全 扩展 ,强调 了 需求 分 析 
中 的 安全 性 。 开 发 者 通过 将 自己 置 于 攻击 者 的 状态 对 系统 进行 系统 利用 和 破坏 ,考虑 当 
安全 机 制 无 效 或 被 破坏 时 的 后 果 , 从 而 更 加 深入 地 了 解 系统 ,防范 可 能 发 生 的 恶意 攻击 。 

UML、 用 例 等 建 模 和 设计 工具 可 以 帮助 软件 开发 人 员 规 范 地 描述 和 设计 软件 的 行 
为 ,但 使 用 这 些 建 模 和 设计 工具 的 前 提 是 : 软件 用 户 的 所 有 行为 都 是 正确 的 ,这 意味 着 开 
发 人 员 是 基于 系统 不 会 被 有 意 滥用 的 假设 来 理解 系统 的 完全 功能 的 。 而 当 系 统 被 有 意 小 
用 时 ,其 表现 结果 是 未 知 的 。 

滥用 案例 的 典型 方法 有 误 用 用 例 和 滥用 用 例 。 误 用 用 例 方法 是 指 从 功能 性 用 例 的 文 
本 描述 中 分 析 可 能 存在 的 安全 漏洞 并 识别 出 对 应 的 威胁 ,建立 威胁 用 例 ,针对 威胁 用 例 建 
立 安 全 需求 用 例 。 滥 用 用 例 方法 主要 用 于 捕获 攻击 者 与 系统 之 间 的 交互 所 产生 的 威胁 ， 
该 方法 重视 对 攻击 者 的 描述 ,主要 对 攻击 者 的 企图 、 攻 击 能 力 进行 评估 ,滥用 用 例 方法 针 
对 识别 出 的 威胁 ,单独 建立 威胁 用 例 。 与 误 用 用 例 方 法 不 同 的 是 : 滥用 用 例 建立 好 的 威 
胁 用 例 并 不 与 功能 性 用 例 产生 交互 ,而 是 仅 说 明 系 统 面临 的 安全 威胁 。 威 胁 用 例 的 描述 
形式 既 可 以 采用 已 有 的 用 例 模 板 ,也 可 采用 漏洞 攻击 树 。 

滥用 用 例 通过 下 面 的 5 个 步骤 创建 : 

(1) 用 UML 的 方法 描述 参与 者 和 用 例 。 

(2) 引入 主要 的 滥用 者 和 滥用 用 例 。 

(3) 人 研究 滥用 用 例 和 用 例 之 间 潜 在 的 include 关系 。 

(4) 引入 新 的 用 例 来 发 现 或 阻止 滥用 用 例 。 

(5) 形成 详细 的 需求 记录 。 


2 滥用 框架 
滥用 框架 (abuse frame) 是 在 传统 的 需求 分 析 方 法 中 间 题 框架 上 的 安全 扩展 ,滥用 框 
架 方法 是 一 种 面向 问题 域 的 分 析 方 法 。 该 方法 从 攻击 者 的 角度 考虑 系统 面临 的 问题 , 采 
用 已 有 的 问题 框架 方法 来 支持 工具 分 析 和 获取 安全 需求 ,适用 于 针对 问题 领域 进行 分 析 ， 
获取 安全 需求 ,其 目的 是 在 系统 发 生 违反 安全 行为 的 条 件 下 ,使 系统 呈现 安全 威胁 ,以 此 
对 系统 进行 分 析 。 
小 用 框架 通过 滥用 框架 威胁 图 和 安全 需求 描述 图 描述 系统 面临 的 安全 问题 。 瀑 用 框 
架 威胁 图 中 各 个 领域 的 现象 描述 以 及 领域 之 间 的 现象 描述 可 作为 安全 知识 ,帮助 同 领 域 
内 的 其 他 软件 系统 确定 安全 威胁 。 定 义 攻击 者 领域 ,表示 攻击 者 ;定义 受害 者 领域 ,表示 
系统 遭受 威胁 的 资产 。 引 入 “ 反 需 求 ? 表 示 攻 击 者 对 系统 的 需求 , 先 获取 反 需 求 ,再 获取 相 
应 的 安全 需求 。 
滥用 框架 的 威胁 图 如 图 2-1 所 示 , 主要 从 两 个 方面 人 手 : 一 是 从 问题 领域 内 的 现象 
人 手 , 由 于 现象 描述 缺乏 安全 性 约束 ,使 得 安全 漏洞 可 能 显 式 或 隐 式 地 存在 于 现象 中 ;二 
是 从 领域 之 间 的 现象 交互 过 程 人 手 , 其 存在 的 安全 隐患 经 常 是 外 部 攻击 的 切入 点 。 在 
图 2-1 中 ,El 表示 反 需 求 在 受害 者 领域 产生 的 安全 威胁 现象 ,E2 表示 机 器 领域 和 受害 者 
领域 之 间 的 共享 现象 ,机 器 领域 通过 E2 对 受害 者 领域 进行 操作 来 完成 软件 系统 的 功能 ， 
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实 线 的 上 3 表示 攻击 者 对 机 丛 领 域 进行 攻击 时 产生 的 现象 ,虚线 的 E3 表示 反 需 求 受 到 攻 
击 者 领域 的 需求 引用 , 它 和 有 反 知 求 一 起 搬 述 了 攻击 者 领域 对 机 千岛 域 的 攻击 效 末 。 


遭受 攻击 的 资产 


已 一 | | 受害 者 领 






攻击 者 领域 


2-1 滥用 框架 威胁 图 








针对 反 需 求 , 鞠 用 框 殿 方法 使 用 问题 征 纳 来 描述 安全 需求 ,其 安全 需求 描述 图 如 
图 2-2 所 示 ,El 表示 在 受到 攻击 的 情况 下 受 你 护 领 域 所 期 望 的 现象 ,E2 和 E3 的 合 义 与 
图 21 一 到 。 





受 保护 区 域 


EL_ 

















代理 行为 _E3- 





2-2 ”安全 需求 描述 图 


3 SQUARE 模型 

SQUARE 模型 的 特性 是 在 软件 开发 周期 的 早期 植 信安 全 概念 ,在 系统 实现 后 通过 
此 模型 分 析 系 统 的 安全 性 ,并 对 系统 将 来 的 修改 和 更 新 起 重要 作用 。 使 用 SQUARE 模 
型 时 ,软件 项 目的 安全 开发 过 程 必须 考虑 其 运行 环境 。 例 如 ,一 个 运行 在 孤立 工作 站 的 系 


差异 可 在 SQUARE 过 程 中 的 第 三 步 加 以 区 分 ,在 制订 开发 方案 时 考虑 到 不 同 的 场景 。 
此 外 , 当 一 个 项 目 发 生变 化 时 ,应 当 重 新 应 用 SQUARE 过 程 分 析 安 全 需求 。SQUARE 
的 基本 过 程 如 下 : 
(1) 统一 定义 。 这 是 安全 需求 工程 的 首要 条 件 , 开 发 团队 根据 经 验 来 定义 软件 项 目 
的 安全 内 容 , 这 个 定义 可 能 与 项 目的 实际 安全 要 求 差 别 很 大 。 通 过 查阅 IEEE 和 
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SWEBOK 等 安全 相关 资料 ,有 利于 开发 团队 更 加 准确 地 进行 软件 项 目 安全 内 容 的 统一 
定义 。 

(2) 确认 安全 目标 。 在 软件 项 目 开 始 阶段 就 必须 确定 其 安全 目标 ,并 且 在 整个 软件 
项 目 生 命 周 期 中 持续 关注 安全 目标 。 软 件 项 目的 不 同 用户 有 不 同 的 安全 目标 。 例 如 ,人 
力 资源 部 的 客户 只 关心 人 力 资源 档案 的 保 常 性 ,而 财务 部 的 客户 只 关心 财务 数据 在 没有 
授权 的 情况 下 不 能 轻易 访问 或 修改 。 

(3) 开发 方案 。 其 目标 是 得 到 可 以 更 好 地 支持 安全 需求 定义 的 方案 , 它 是 安全 需求 
工程 活动 必 知 的 过 程 。 这 一 过 程 输出 的 开发 方案 资源 可 能 包括 误 用 /混用 案例 、 模 板 、 框 
如 等 

(4) 进行 风险 评估 。 这 一 活动 需要 风险 专家 投资 者 和 安全 需求 工程 师 的 支持 。 

险 专 家 会 根据 软件 项 目的 需求 推荐 特定 的 风险 评估 方法 ,进行 风险 分 析 并 得 出 pt 
结果 ,这 是 得 到 准确 的 安全 需求 的 必要 步骤 。 

(5) 选择 启发 式 方法 。 当 软件 项 目的 客户 包含 不 同类 型 时 ,这 一 活动 尤其 重要 。 因 
为 选择 较为 形式 化 的 局 td 同 知识 背景 的 客户 之 间 的 沟通 问题 ， 

(6) 得 出 安全 需求 。 这 一 步骤 建立 在 前 面 所 有 步骤 的 基础 之 上 ,利用 所 选 方案 (如 小 
RE 定 选 择 技巧 的 局 发 式 方法 。 

(7) i 安全 需求 工程 师 区 分 关键 的 需求 .目标 (理想 的 需求 ) 和 可 能 存在 的 
构架 约束 。 这 个 分 类 有 助 于 后 面 的 需求 排序 过 程 。 

(8) ee 子 。 对 需求 的 排序 不 仅 依 赖 于 需求 分 类 ,也 关系 到 成 本 效益 分 析 , 这 些 分 
析 可 以 决定 哪些 安全 需求 有 很 高 的 效益 。 

(9) 需求 检查 。 检 查 需 求 的 方法 很 多 ,例如 专用 检查 方法 和 同行 审查 。 此 活动 完成 
后 ,开发 团队 会 得 到 一 系列 排 好 序 的 初始 安全 需求 。 在 后 续 的 开发 过 程 中 ,开发 团队 需要 
注意 日 前 还 不 完善 的 需求 ,并 理解 哪些 需求 独立 于 特定 的 架构 和 实现 。 


2.3 ”系统 设计 概述 


231 系统 设计 内 容 


软件 设计 是 软件 工程 的 核心 ,是 软件 开发 生命 周期 最 重要 的 阶段 。 开 发 人 员 依 照 软 
件 设 计 来 实现 系统 的 功能 和 性 能 ,如 采 软 件 在 设计 阶段 和 存在 安全 缺陷 ,如 业务 逻辑 缺陷 ， 
用 户 将 面临 危 辽 ,损失 无 法 估量 ,程序 员 最 终 还 需 在 解决 安全 问题 上 花费 大 量 时 间 。 因 
此 ,好 的 设计 是 开发 出 高 质量 软件 的 基础 。 

从 生命 周期 的 角度 ,软件 设计 可 以 看 作 从 软件 需求 规格 说 明 书 出 发 ， We 
段 确定 的 功能 ,设计 软件 系统 的 整体 结构 ,划分 功能 模块 ,确定 每 个 模块 的 实现 算法 , 结 
软件 安全 技术 和 安全 设计 原则 产生 满足 功能 需求 和 非 功能 需求 的 具体 设计 方案 ， 即 从 整 
体 到 局 部 ,从 总 体 设计 到 详细 设计 的 过 程 。 

lL 总 体 设计 阶段 
系统 的 总 体 设 计 又 称 概要 设计 ,此 阶段 在 较 抽 象 的 层次 上 对 比 、 分 析 多 种 可 能 的 系统 
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实现 方案 和 软件 结构 ,从 中 选 出 最 佳 方案 和 最 合理 的 软件 结构 。 总 体 设计 阶段 需要 完成 
应 用 系统 的 安全 整体 架构 设计 ,包括 但 不 限于 安全 体系 结构 设计 、 各 功能 块 间 的 处 理 流 
程 .与 其 他 功能 的 关系 、 安 全 协议 设计 、 安 全 接口 设计 等 。 

软件 总 体 设计 阶段 的 安全 设计 工作 有 以 下 两 个 : 

(1) 系统 设计 。 划 分 出 组 成 系统 的 物理 元 素 , 如 程序 .文件 数据库. 人 工 过 程 和 文 
档 等 。 

(2) 续 构 设计 。 将 软件 需求 转化 为 数据 编 构 和 软件 的 系统 纺 构 ,综合 应 用 设计 、 成 
本 安全 性 、 用 户 体验 等 方面 选择 最 佳 的 系统 结构 , 即 确定 系统 中 的 每 个 程序 都 是 由 哪些 
模块 组 成 的 ,实现 需求 分 析 阶 段 拟 定 的 全 部 软件 安全 性 需求 (包括 不 希望 事件 ) ,确定 模块 
相互 间 的 关系 。 

2 详细 设计 阶段 

系统 的 详细 设计 是 在 总 体 设计 的 基础 上 进一步 细 化 ,在 框架 中 填 人 细节 ,得 到 软件 的 
详细 数据 结构 表达 和 具体 算法 描述 。 详 细 设 计 阶 段 作为 安全 功能 的 程序 设计 阶段 ,应 当 
下 接 指导 安全 功能 的 编码 工作 ,包括 但 不 限于 模块 设计 、 内 部 处 理 流程 数据 结构 输入 输 
出 项 算法、 人 逻辑 流程 图 等 。 

软件 详细 设计 阶段 的 安全 设计 工作 有 以 下 4 个 : 

(1) 为 每 个 模块 确定 采用 的 算法 ,选择 某 种 适当 的 工具 表达 算法 的 过 程 , 写 出 模块 的 
详细 过 程 性 描述 。 

(2) 确定 每 一 个 模块 使 用 的 数据 结构 。 

(3) 确定 模块 接口 的 细节 ,包括 对 系统 外 部 的 接口 和 用 户 界 面 , 与 系统 内 部 模块 之 间 
的 接口 ,以 及 模块 输入 数据 .输出 数据 和 局 部 数据 的 全 部 细节 。 在 详细 设计 结束 时 ,应 该 
把 上 述 结果 写 人 详细 设计 说 明 书 ,并且 通过 复审 形成 正式 文档 ,交付 下 一 阶段 (编码 阶段 ) 
作为 工作 依据 。 

(4) 为 每 一 个 模块 设计 一 组 测试 用 例 , 以 便 在 编码 阶段 对 模块 代码 ( 即 程序 ) 进 行 预 
定 的 测试 ,模块 的 测试 用 例 是 软件 测试 计划 的 重要 组 成 部 分 , 通 第 应 包括 输入 数据 、 期 望 
输出 等 内 容 。 


232 ”安全 设计 原则 


软件 安全 设计 要 求 在 整个 软件 生命 周期 运用 系统 安全 性 工程 技术 确保 软件 采用 提高 
系统 安全 性 的 有 效 措施 ,并 确保 所 有 可 能 降低 系统 安全 性 的 错误 都 已 经 被 排除 或 被 控制 
在 可 接受 的 风险 度 以 下 。 为 了 使 软件 更 好 地 达到 软件 安全 设计 要 求 , 软 件 设 计 应 该 尽量 
遵循 安全 设计 原则 ,这 些 原则 是 软件 开发 和 软件 测试 中 有 关 安 全 经 验 的 高 度 总 结 ,能 够 指 
导 安 全 开发 人 员 ( 特 别 是 软件 架构 师 和 设计 师 ) 开 发 更 为 安全 的 软件 。 下 面 是 一 些 基本 的 
安全 设计 原则 。 

1 简单 允 懂 原则 

越 复杂 越 容 易 出 错 。 越 复杂 越 难 审查 得 透彻 ,也 越 难 测试 得 比较 全 面 , 从 而 使 得 一 些 
安全 缺陷 遗留 在 系统 中 。 随 春 系统 复 杂 度 的 提高 ,系统 的 安全 风险 也 在 变局 。 因 此 ,应 减 
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2 最 小 特权 原则 

最 小 特权 原则 是 指 : 对 于 请 求 存 储 资源 的 主体 ,只 授予 执行 操作 所 需 的 最 少 访问 权 ， 
而 且 应 该 保证 对 于 该 访问 权 只 准许 使 用 所 需 的 最 少时 间 。 如 果 授 予 一 个 用 户 或 进程 、 组 
件 超 过 其 行为 必要 的 权限 范围 的 许可 ,该 用 户 或 进程 .组件 加 有 可 能 获得 或 修改 其 没有 权 
限 处 理 的 信息 ,出 现 滥 用 特权 的 风险 。 


3 权限 分 离 原则 

尽量 把 软件 划分 为 多 个 独立 的 模块 ,把 权限 分 离 成 不 同 的 权限 许可 和 认证 条 件 , 把 用 
户 分 离 成 不 同 的 权限 角色 。 不 要 将 权限 一 次 性 授予 一 个 用 户 ,而 是 根据 需要 提供 多 重 的 
认证 与 检查 机 制 ,再 进行 授权 。 权 限 分 离 ,出 现 问题 时 可 以 快速 定位 到 模块 ,以 便 进 行 修 
复 。 还 可 以 对 单个 模块 进行 测试 ,保证 各 个 模块 的 正确 性 。 


4 最 少 共 圣 机 制 原则 

避免 多 个 主体 共享 同一 个 资源 ,因为 敏感 信息 可 能 通过 相同 的 机 制 在 这 些 主体 之 间 
共享 ,导致 被 其 他 用 户 获取 。 每 个 主体 应 该 有 不 同 的 机 制 或 不 同 的 机 制 实例 ,在 保证 多 用 
忆 访 问 的 天 活性 的 同时 ,应 防止 由 单一 的 共 至 机 制 寻 致 海 在 的 违 形 安全 性 的 行为 。 


5 完全 中 立 原 则 

每 次 主体 对 资源 进行 请 求 时 ,系统 都 应 该 进行 认证 和 检查 ,特别 是 和 安全 相关 的 内 
容 , 以 避免 错误 地 赋予 主体 过 高 的 权限 或 者 在 第 一 次 授予 主体 权限 后 ,主体 被 攻击 ,攻击 
者 滥用 相关 权限 。 为 了 提高 性 能 ,一 些 系 统 会 临时 存储 主体 的 权限 ,这 种 做 法 易 使 系统 有 具 
有 较 遍 的 安全 风险 。 


6 心理 可 接受 度 原 则 

安全 机 制 应 该 尽 可 能 对 用 户 透明 ,只 引入 少量 的 资源 使 用 限制 ,对 用 户 友 好 ,才能 方 
便 用 户 的 理解 和 使 用 ,真正 起 到 安全 防护 的 作用 。 安 全 机 制 不 应 降低 资源 的 可 用 性 或 使 
得 资源 难以 获取 ,人 否则 ,用户 很 可 能 会 选择 关闭 这 些 安全 机 制 或 功能 。 


7 默认 故障 处 理 保护 原则 

任何 复杂 的 系统 都 有 发 生 故 障 的 时 候 , 这 是 很 难 避 人 免 的 。 当 系统 失效 或 发 生 故障 时 ， 
必须 以 安全 的 方式 来 处 理 系统 信息 ,系统 故障 处 理应 该 是 安全 的 。 例 如 ,即使 衫 失 了 可 用 
性 ,也 应 该 保障 系统 的 机 密 性 和 完整 性 ;故障 发 生 时 必须 阻止 未 授权 的 用 户 获得 访问 权 
限 ;发生 故障 后 ,应 该 不 癌 远 程 未 授权 的 用 户 暴 露 敏感 信息 ,如 错误 号 和 错误 信息 、 服 务 需 
信息 等 。 

& 不 信任 原则 

开发 者 应 该 假定 系统 环境 是 不 安全 的 。 对 外 部 实体 所 有 的 输入 都 需要 进行 检查 , 即 
使 输入 来 和 目 可 信 的 外 部 用 户 。 另 外 ,不 应 该 认为 每 次 对 图 数 或 系统 的 调用 操作 都 必然 会 
成 功 , 如 内 存 的 分 配 , 因 此 必须 对 每 次 图 数 或 系统 调用 的 返回 值 进 行 检 查 ,并 进行 正确 的 
处 理 。 
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9 纵深 防御 原则 

纵深 防御 原则 是 指 : 不 仅 依靠 操作 系统 提供 的 安全 防护 机 制 , 而 且 建 立 协 议 层次 ,\ 信 
息 流 问 等 纵 癌 结构 层次 的 多 种 有 效 防 御 措 施 ,形成 纵深 防御 体系 。 由 于 攻击 者 要 绕 过 每 
一 个 机 制 才能 达到 目的 ,纵深 防御 体系 提高 了 攻击 者 的 攻击 成 本 和 要 求 , 降 低 了 攻击 者 成 
功 攻 击 的 概率 和 危害。 纵深 防御 的 基本 思想 是 ; 使 用 多 重 防 御 来 管理 风险 ,以 便 在 一 层 
防御 无 效 的 时 候 , 男 一 层 防 御 将 会 阻止 人 侵 破 坏 。 


10 保障 最 薄弱 环节 原则 

安全 社区 有 一 个 第 见 的 比喻 : 安全 性 是 根 链条 ,其 强度 取决 于 最 溥 罚 的 环 记 。 攻 击 
者 一 般 从 系统 最 溥 弦 的 环节 发 起 攻击 ,而 不 是 针对 已 经 加 固 的 组 件 。 相 对 于 破解 一 个 数 
学 上 已 经 证 明了 安全 性 的 算法 ,攻击 者 更 喜欢 利用 软件 的 安全 漏洞 。 因 此 ,软件 开发 者 必 
有 顷 了 解 目 己 开发 的 软件 的 溥 腻 点 ,针对 这 些 溥 蜀 点 实施 更 强 的 安全 保护 措施 。 


11 公开 设计 原则 

公开 设计 原则 假定 攻击 者 有 人 能力 获取 系统 足够 的 信息 以 发 起 攻击 。 如 果 加 密 算 法 存 
在 弱 密 钥 , 或 者 系统 设 有 万 能 口令 ,攻击 者 通过 反 汇 编 分 析 能 够 获取 这 些 信 息 。 攻 击 者 还 
可 能 是 内 部 被 辞退 的 员工 。 因 此 ,如 采 认 为 攻击 者 无 法 和 苞 担 某 些 特定 信息 来 实施 攻击 , 束 
可 能 给 系统 市 来 安全 隐患 。 


2 隐私 保护 原则 

系统 对 其 收集 到 的 用 户 信 息 虱 必 须 实 施 灵 善 和 安全 的 保护 。 攻 击 者 获得 了 用 户 的 隐 
私信 息 之 后 ,可 以 进一步 发 起 针对 用 户 的 各 种 攻击 ,如 期 骗 等。 因此 ,不 应 该 辐 其 他 用 户 
泄露 用 户 的 隐私 信息 。 


13 攻击 面 最 小 化 原则 

攻击 面 (attack surface) ,通常 也 称 受 攻击 面 ,是 指 对 一 个 软件 系统 可 以 采取 的 所 有 可 
能 的 攻击 方法 。 因 为 攻击 者 对 软件 的 攻击 是 通过 其 雄 露 在 外 部 的 接口 .功能 .服务 和 协议 
等 资源 实施 的 ,所 以 ,计算 每 种 资源 被 成 功 攻击 的 可 能 性 ,并 将 这 些 可 能 性 综合 归纳 ,就 可 
以 衡量 软件 的 攻击 面 大 小 。 可 以 看 出 ,一 个 软件 的 攻击 面 越 大 ,其 安全 风险 也 就 越 大 。 

减 小 攻击 面 是 安全 设计 中 的 一 个 重要 步骤 。 软 件 设计 人 员 和 需要 仔细 评估 软件 中 所 有 
功能 模块 和 接口 的 特性 ,分 析 其 可 能 存在 的 安全 风险 ,并 设 定 相应 的 限制 措施 。 如 采 一 个 
功能 模块 和 接口 不 是 必要 的 , 则 应 该 取消 或 茶 止 ,或 者 默认 不 开局 ;如 来 没有 特殊 的 理由 ， 
一 个 功能 模块 和 接口 默认 应 该 按 安全 的 方式 进行 设置 。 


3 安全 设计 方法 


安全 需求 解决 的 是 "做 什么 "的 问题 ,而 安全 设计 解决 的 是 "怎么 做 "的 问题 。 软 件 安 

全 设计 的 目标 古 确 从 软件 产品 中 不 存在 且 接 引起 或 间接 促使 系统 趋 于 危险 状态 的 构件 。 

如 来 系统 已 经 进入 危险 状态 ,检测 出 系统 的 危险 状态 和 排除 危险 采取 对 介 的 部 件 应 能 正 
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常 工作 ;如 果 事 故 已 经 发 生 ,控制 并 减轻 损失 的 部 件 应 能 发 挥 作用 。 
241 危险 性 分 析 


在 进行 可 徘 性 ,安全 性 设计 之 前 ,要 进行 危险 性 分 析 , 以 确定 软件 安全 关键 单元 。 估 
险 性 分 析 是 通过 对 系统 存在 的 危 辽 类 别 .出 现 条 件 .事故 后 采 等 条 件 进行 分 析 , 判 断 系 统 
可 能 的 潜在 危险 。 人 危险 性 分 析 一 般 在 软件 编码 之 前 完成 ,其 分 析 结 有 果 将 提交 给 关键 设计 
评审 (Critical Design Review，CDR) 作 为 参考 ， 

危险 性 分 析 的 步 怠 如 下 : 

(1) 根据 需求 危险 性 分 析 、 概 要 设计 危险 性 分 析 确 定 的 危险 事件 ,分 析 这 些 事件 与 低 
层次 软件 单元 的 关系 ,将 对 危险 事件 有 影 啊 的 单元 确定 为 软件 安全 关键 单元 ,分 析 这 些 单 
元 对 危险 事件 施加 影响 的 方式 和 途径 。 

(2) 在 低层 次 上 考察 软件 的 各 个 单元 、 表 、 变 量 之 间 的 相关 程度 ,将 下 接 和 间接 影响 
软件 安全 关键 单元 的 其 他 单元 确定 为 安全 关键 单元 ,分 析 它 们 对 安全 的 影 啊 。 

(3) 分 析 软 件 安全 关键 单元 的 话 细 设计 是 否 待 合 安 全 性 设计 的 要 求 , 分 析 的 结 采 应 
送 交 软件 设计 人 员 和 项 目 主管 。 确 定 在 测试 计划 .说 明和 规程 中 需要 包含 的 安全 性 要 求 。 

(4) 确定 在 系统 操作 员 手 册 .软件 用 户 手 册 .系统 诊断 手册 及 其 他 手册 中 需要 包含 的 
安全 性 要 求 。 

(5) 确保 编程 人 员 了 解 软 件 安全 关键 单元 ,加 编程 人 员 提 供 有 关 安 全 性 的 编程 建议 
和 要 求 。 


242 基于 模式 的 软件 安全 设计 


近年 来 ,模式 方法 在 多 个 领域 被 广泛 应 用 于 解决 各 种 通用 问题 。 软 件 安全 模式 是 指 
描述 一 个 在 特定 环境 中 重复 出 现 的 特定 安全 问题 ,并 为 之 提供 一 个 良好 的 通用 解决 方案 。 
基于 模式 的 软件 安全 设计 通过 组 合 以 往 的 软件 设计 模式 来 开发 新 的 框架 ,以 实现 设计 过 
程 的 软件 复 用 ,提升 设计 质量 ,加 快 设计 效率 。 

结合 Open Group 的 (安全 设计 模式 ) 中 总 结 的 安全 模式 和 软件 设计 方法 ,可 以 将 党 
用 的 安全 模式 分 为 架构 级 模式 ,设计 级 模式 和 实施 级 模式 ， 


1 架构 级 模式 

架构 级 模式 可 以 分 为 不 信任 分 解 、. 特 权 分 离 和 推 到 到 内 核 (Defer to Kernel)3 种 

不 信任 分 解 模式 的 目的 是 让 独立 的 功能 模块 相互 之 间 不 信任 ,从 而 减少 系统 独立 程 
友 的 攻击 面 ,并 且 当 有 相互 不 信任 的 程序 锌 攻破 时 , 骏 露 给 攻击 者 的 功能 和 数据 尽 可 能 
最 少 。 

特权 分 离 模式 的 目的 是 在 不 影 啊 或 限制 程序 功能 的 前 提 下 ,减少 以 特权 权限 运行 的 
代码 数量 。 

推 久 到 内 核 模式 是 为 了 清晰 地 分 离 需 要 提升 特权 的 功能 和 不 需要 提升 特权 的 功能 ， 
并 使 用 现 有 的 用 户 验证 内 核 功 能 ,利用 内 核 已 经 建立 的 仲裁 安全 决策 ,而 不 是 在 用 户 级 使 
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用 仲裁 安全 决 宁 的 方法 。 

2 设计 级 模式 

设计 级 模式 可 以 分 为 安全 工厂 (Secure Factory) 模 式 、 安 全 开 上 略 工 厂 (Secure Strategy 
Factory) 模 式 ,安全 构建 舌 工 厂 (Secure Builder Factory) 模 式 、 责 任 安全 链 (Secure Chain 
of Responsibility) 模 式 .安全 状态 机 (Secure State Machine) 模 式 和 安全 访问 者 (Secure 
Visitor) 模 式 等 。 

在 安全 工厂 模式 下 ,访问 者 可 以 给 予 合 法 对 象 一 个 安全 凭证 ; 反 过 来 ,安全 工厂 模式 
能 够 针对 已 经 给 定 的 安全 凭证 选择 和 返回 对 应 的 对 象 。 

安全 策略 工厂 模式 的 目的 是 选择 适当 的 策略 对 象 来 执行 基于 用 户 安 全 途 证 的 任务 。 
它 是 安全 工厂 模式 的 扩展 。 

安全 构建 锅 工 三 模式 的 目的 是 从 创建 对 象 的 基本 步骤 里 分 离 出 涉及 创建 复杂 对 象 的 

责任 安全 链 模 式 的 目的 是 在 应 用 要 求 的 功能 函数 中 分 离 出 用 户 信赖 或 者 环境 信赖 的 
功能 函数 ,并 有 旦 简化 这 些 功 能 。 

安全 状态 机 模式 的 目的 是 将 安全 性 功能 录 数 和 用 户 级 功能 函数 实现 为 两 个 单独 的 状 
仿 ,使 安全 机 制 和 用 户 功 能 清晰 地 分 离 。 

安全 系统 可 能 需要 在 层次 结构 化 数据 上 执行 各 种 操作 ,数据 层次 结构 中 的 每 个 市 点 
可 能 有 不 同 的 访问 限制 ,不 同 用 户 的 数据 访问 权限 依赖 于 角色 /安全 赁 证。 安全 访问 者 模 
式 允 许 给 市 尽 加 锁 , 以 免 它 被 非法 访问 ,除非 访问 者 提供 正确 的 安全 凭证 给 方 点 解锁 。 


3 实施 级 模式 

实施 级 模式 主要 有 安全 日 志 (Secure Logger) 模 式 、 清 除 敏 感 信息 (Clear Sensitive 
Information) 模 式 、 安 全 日 录 (Secure Directory) 模式 、 路径 名 规范 化 (Pathname 
Canonicalization) 模 式 、 输 入 验证 (Input Validation) 模 式 、 资 源 获 取 初 始 化 (Resource 
Acquisition Initialization, RAD 模 式 等 。 

安全 日 志 模 式 能 防止 攻击 者 从 系统 日 记 中 收集 有 用 的 系统 信息 ,阻止 攻击 者 通过 编 
辑 系统 日 忘 隐藏 目 己 的 行为 。 

清除 敏感 信息 模式 是 指 在 被 释放 的 资源 可 重用 之 前 清除 敏感 信息 ,防止 存储 在 一 个 
可 重用 资源 中 的 敏感 信息 被 用 户 或 对 手 未 经 授权 访问 。 该 模式 确保 存储 在 可 重用 资源 中 
的 敏感 信息 在 重用 之 前 被 彻 抵 清 际 。 

安全 目录 模式 确保 攻击 者 无 法 操作 程序 执行 期 间 使 用 的 文件 。 

路 径 名 规范 化 模式 保证 所 有 被 程序 读 或 写 的 文件 通过 一 个 有 效 的 .不 包含 任何 符号 
链接 或 快捷 方式 的 路 径 ( 也 就 是 规范 化 的 路 径 名 ) 访 问 。 

输入 验证 模式 是 指 验证 输入 数据 的 正确 性 。 它 要 求 开 发 人 员 正 确 识别 和 验证 所 有 外 
部 输入 的 不 可 信 数 据 源 。 

宽 源 获取 初 娘 化 模式 通过 执行 处 理 贤 源 分 配 和 回收 对 象 的 构造 、 析 构 等 尔 数 ,你 证 系 
统 资 源 在 所 有 可 能 的 程序 执行 路 答 下 被 合理 地 分 配 和 收回 。 
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243 安全 关键 单 元 的 确定 和 设计 

安全 关键 单元 筱 定义 为 其 错误 可 能 导致 系统 光 在 严重 危险 的 软件 单元 。 在 确定 安全 
关键 单元 时 ,首先 需要 在 软件 总 体 设计 中 确定 安全 关键 部 件 , 对 这 些 部 件 进行 细 化 和 分 
解 , 册 对 产生 的 软件 单元 作 进一步 分 析 , 最 后 从 中 确定 安全 关键 单元 。 

通 币 考 虑 将 下 述 软件 单元 确定 为 安全 关键 单元 : 

(1) 故障 检测 的 优先 级 结构 及 安全 性 控制 或 校正 单元 ,处 理 和 啊 应 故障 的 软件 单元 ， 
中 断 处 理 程序 中 断 优先 级 管理 及 允许 或 禁止 中 断 的 例 行 单元 。 

(2) 产生 对 硬件 进行 目 主 控制 的 信号 的 单元 。 

(3) 产生 下 接 影响 硬件 部 件 运 动 或 局 动 安全 关键 行为 的 信号 的 单元 。 

(4) 其 输出 是 显示 安全 关键 使 件 的 系统 状态 的 单元 。 

对 于 已 经 确定 的 安全 关键 单元 ,应 在 设计 时 遵循 以 下 准则 : 

(1) 分 离 安 全 关键 早 元 。 尺 量 将 安全 关键 单元 与 非 安 全 关键 时 元 分 离 , 设 立 为 不 同 
的 开发 任务 ,并 采取 措施 使 后 者 的 故障 不 会 影响 前 者 。 

(2) 安全 关键 单元 至 少 受 控 于 两 个 独立 的 单元 。 

(3) 安全 关键 单元 必须 同一 切 其 他 单元 隅 离 。 安 全 关键 单元 必须 放 在 一 起 ,以 便 对 
其 进行 保护 ,并 防止 其 他 单元 的 干扰 。 

(4) 安全 关键 单元 必须 具有 蝇 数据 类 型 。 不 得 使 用 一 位 的 逻辑 0 或 1 来 表示 “安全 ” 
或 “危险 ”状态 ,安全 关键 状态 的 判定 条 件 不 得 依赖 于 全 0 或 全 1 的 输入 。 

(5) 安全 关键 的 计时 单元 必须 由 系统 控制 ,不 允许 随意 修改 。 


295 威胁 建 模 


251 威胁 建 模 概述 


威胁 建 模 是 一 种 工程 技术 , 它 以 结构 化 的 方式 识别 . 评 佑 应 用 系统 面临 的 威胁 。 威 胁 
建 模 可 使 开发 人 员 在 设计 阶段 充分 了 解 各 种 可 能 的 安全 威胁 ,对 可 能 的 风险 进行 管理 ,并 
指导 开发 人 员 选 择 适 当 的 应 对 指 施 ,根据 设计 和 测试 情况 对 安全 架构 和 设计 进行 验证 ,从 
而 降低 软件 的 攻击 面 。 通 过 执行 威胁 建 模 来 确定 何 时 何 地 需要 资源 以 减少 风险 。 在 发 现 
威胁 的 过 程 中 ,会 发 现 许 多 可 能 的 漏洞 .威胁 和 攻击 ,但 实际 应 用 程序 不 太 可 能 遇 到 所 有 
这 些 漏洞 ,组 织 也 不 太 可 能 需要 解决 所 有 这 些 问题 ,威胁 建 模 可 帮助 开发 人 员 识别 组 织 应 
用 中 需要 防范 的 威胁 。 
威胁 建 模 也 是 一 种 风险 管理 模型 ,适用 于 所 有 的 软件 产品 和 系统 的 开发 , 带 助 制订 衔 
量 安全 目标 的 工程 决 训 与 其 他 议 计 目标 。 一 个 开发 团队 诈 抑 需要 明确 项 目 需要 你 护 的 目 
慰 , 了 解 有 哪些 威胁 和 漏洞 能 够 影响 保护 目标 ,找到 缓解 这 些 威胁 和 漏洞 的 具体 措施 , 才 
有 可 能 开发 出 安全 的 软件 。 威 胁 建 模 在 软件 生命 周期 的 需求 设计 阶段 就 介入 ,并 进行 全 
面 的 威胁 分 析 , 通 过 消除 第 见 漏 洞 来 提高 工程 质量 ,使 得 安全 防护 成 本 更 低 ,避免 在 软件 
有 本 





代码 安全 


开发 后 期 进行 成 本 高 昂 的 补救 。 威 胁 建 模 允许 系统 安全 人 员 描 述 安全 漏洞 的 破坏 力 , 并 
威胁 建 模 不 是 一 跃 而 就 的 过 程 ,需要 重复 进行 ,从 应 用 程序 设计 的 早期 阶段 开始 , 持 
续 经 过 应 用 程序 的 整个 生命 周期 。 因 为 安全 人 员 很 难 一 次 找 出 所 有 威胁 ,并 且 目 前 的 应 
用 程序 很 少 为 静态 的 ,所 以 威胁 建 模 过 程 需要 随 者 应 用 程序 的 发 展 不 断 重 复 .持续 改善 并 
适应 变化 的 应 用 程序 。 
威胁 模型 包括 应 用 程序 体系 结构 的 定义 和 应 用 程序 方案 的 一 系列 威胁 ,主要 包括 
三 大 元 系 : 贤 产 、 威 胁 和 源 洞 。 资 产 是 指 需 要 保护 的 有 价值 的 数据 和 设备 ,威胁 是 指 攻 
击 者 对 系统 可 能 实施 的 攻击 行为 , 源 润 是 指 系 统 内 部 可 能 饿 攻击 者 利用 而 对 系统 构成 
威胁 的 缺陷 。 以 房子 类 比 ,房子 中 的 珠宝 是 资源 , 甸 贼 是 攻击 者 , 门 是 房子 的 一 部 分 ， 
则 开 看 的 门 表示 一 个 责 陷 , 锚 贼 可 以 利用 开 看 的 门 进 入 房子 偷 珠宝 , 即 攻击 者 利用 屿 
在 开始 威胁 建 模 过 程 之 前 ,需要 理解 以 下 基本 术语 : 
信息 或 信息 本 身 的 可 用 性 ,例如 客户 数据 ;也 可 能 是 无 形 的 ,如 公司 的 声 党 。 
威胁 : 是 一 种 事件 或 浴 在 的 事件 , 通 第 被 换 述 为 可 能 损害 资产 或 目标 的 效 采 , 它 
本 质 上 可 能 是 恶意 的 ,也 可 能 是 非 恶 意 的 ,可 能 会 损害 或 危及 资源 的 安全 。 
缺陷 ; 是 信息 系统 .信息 技术 或 信息 产品 在 某 方面 的 弱点 或 特性 ,这 些 明 点 可 被 
攻击 者 利用 以 实施 攻击 ,造成 威胁 的 发 生 。 网 络 \ 主 机 或 应 用 程序 中 部 可 能 存在 
攻击 (或 利用 ): 对 条 人 或 者 东 物 米 取 的 危害 竣 源 的 行为 。 该 行为 可 能 是 条 人 通 
过 跟 蹊 、 威 胁 或 者 利用 缺陷 而 实施 的 。 
对 策 ; 应 对 威胁 , 减 小 危险 的 安全 措施 。 对 策 包 括 改进 应 用 设计 ,改进 代码 改进 


252 威胁 建 模 过 程 
威胁 建 模 的 过 程 如 图 2-3 所 示 ,该 过 程 可 用 于 目前 正在 开发 的 


应 用 程序 以 及 现 有 的 应 用 程序 。 
1 识别 资源 创建 总 体 体系 结构 


识别 资源 是 指 找 出 系统 必须 保护 的 有 价值 的 资源 ,包括 入 口 点 
和 出 口 点 ,系统 资产 和 资源 .信任 级 别 (访问 类 别 ), 从 如 客户 或 订单 
数据 库 等 机 密 数 据 到 Web 页 或 Web 站 点 的 可 用 人 性。 


2 创建 总 体 体系 结构 | 


创建 总 体 体系 结构 是 指 利用 简单 的 图 表 来 记录 应 用 程序 的 体 





系 结构 ,包括 子 系统 ,信任 边界 和 数据 流 。 这 个 阶段 的 目标 是 记录 负 
应 用 程序 的 功能 ,体系 结构 .物理 部 署 配 置 及 组 成 解决 方案 一 部 分 
的 技术 ,寻找 应 用 程序 设计 和 实现 中 潜在 的 缺陷 。 图 2-3 ”威胁 建 模 过 程 
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在 这 个 阶段 执行 下 列 任 务 : 

(1) 确定 应 用 程序 做 什么 以 及 它 是 如 何 利 用 和 访问 资源 的 。 

(2) 创建 高 级 的 体系 结构 示意 图 。 说 明 应 用 程序 、 子 系统 以 及 物理 部 署 特点 的 组 成 
和 结构 ,如 模拟 与 外 部 系统 进行 交互 的 示意 图 。 

(3) 确定 正确 、 恰 当地 用 于 实现 解决 方案 的 技术 。 最 常用 的 技术 包括 ASP. NET、 
Web 服务 .企业 服务 .Microsoft .NET Remoting 以 及 ADO. NET, 还 可 以 找 出 应 用 程序 
调用 的 任何 非 托管 代码 。 


3 分 解 应 用 程序 

分 解 应 用 程序 的 体系 结构 包括 基本 的 网 络 和 主机 基础 结构 的 设计 ,根据 传统 的 缺陷 
区 域 为 应 用 程序 创建 安全 配置 文件 。 安 全 配置 文件 的 目的 是 发 现 应 用 程序 的 设计 、 实 现 
或 部 署 配置 中 的 缺陷 。 之 后 还 要 找 出 应 用 程序 的 信任 边界 ,数据 流 、 人口 点 和 特权 代码 。 
对 应 用 程序 结构 了 解 得 越 多 ,就 越 容易 发 现 威胁 。 

在 这 个 阶段 执行 下 列 任务 . 

(1) 标识 信任 边界 。 

找 出 包围 应 用 程序 的 各 实体 资源 的 信任 边界 ,这 些 资源 由 应 用 程序 设计 确定 。 对 
每 个 子 系统 ,要 考虑 上 游 数据 流 或 用 户 输入 是 否 可 信 , 如 果 不 可 信 , 要 考虑 对 数据 流 和 
输入 如 何 进 行 身 份 验证 和 授权 。 还 要 考虑 调用 代码 是 否 可 信 , 如 果 不 可 信 , 考 虑 如 何 
对 其 进行 身份 验证 和 授权 。 必 须 能 够 保证 适当 的 网 关 守 卫 程 序 可 以 将 所 有 人 口 点 都 
收敛 或 汇聚 在 一 个 特定 的 信任 边界 中 ,而且 接 收 者 的 人口 点 要 全 面 验证 通过 信任 边界 
的 所 有 数据 。 

(2) 标识 数据 流 。 

一 种 简单 的 标识 方法 就 是 以 最 高 层 作为 起 点 ,通过 分 析 单 个 子 系统 间 的 数据 流 , 以 迭 
代 的 方式 分 解 应 用 程序 。 跨 信任 边界 的 数据 流 特别 重要 ,对 于 从 信任 边界 外 部 传递 数据 
的 代码 ,应 假定 这 些 数据 是 恶意 的 ,并 对 数据 进行 彻底 验证 。 

另外 ,理解 数据 访 岁 (Data Flow Diagram,DFD) 和 厅 列 示意 图 有 助 于 安全 人 员 规 范 
地 分 解 系统 。DFD 是 数据 流 数据 存储 区 和 数据 源 与 日 标 之 间 关 系 的 图 形 化 表示 。 序 列 
示意 图 说 明 一 组 对 象 在 有 时 间 先 后 顺序 的 事件 中 是 如 何 协 作 的 。 

(3) 标识 入 口 点 。 

应 用 程序 的 入 口 点 也 是 攻击 的 入 口 点 。 入 口 点 可 能 包括 侦 听 HTTP 请 求 的 前 端 
Web 应 用 程序 ,该 入 口 点 是 有 意 公开 给 客户 端的 。 其 他 入 口 点 ,如 由 里 应 用 程序 层 的 于 


组 件 公 开 的 内 部 入 口 点 ,它们 的 存在 是 为 了 文 持 与 其 他 组 件 的 内 部 通信 。 但 是 ,系统 安全 
人 员 应 了 解 这 些 入 口 点 位 于 何 处 ,以 及 它们 接收 的 输入 类 型 是 什么 ,以 防 攻击 者 设法 绕 过 
应 用 程序 的 封 雪 .调用 或 引用 而 且 接 攻击 内 部 人 口 扣 。 对 于 每 个 人 口 点 ,安全 人 员 还 应 能 


确定 网 关 守 卫 程 序 的 类 型 ,对 该 程序 进行 授权 并 确定 验证 的 级 别 和 程度 。 
逻辑 应 用 程序 人 口 点 包括 由 Web 页 提供 的 用 户 界面 .由 Web 服务 提供 的 服务 界面 、 
服务 组 件 和 . NET Remoting 组 件 以 及 提供 异步 入口 点 的 消息 队列 。 物 理 或 平台 入 口 点 
包括 端口 和 插 槽 。 
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(4) 标识 特权 代码 。 

特权 代码 访问 特定 类 型 的 安全 资源 ,并 执行 其 他 特权 操作 。 安 全 资源 类 型 包括 DNS 
服务 硕 、 目 录 服 务 .环境 变量 .事件 日 志 、 文 件 系 统 . 消息 队 列 . 性 能 计数 硕 、 打 印 机 、 注 册 
表 、 套 接 字 和 Web 服务 。 特 权 操 作 包 括 非 托管 代码 调用 、. 反射. 串 行 化 .代码 访问 安全 性 
权限 以 及 对 代码 访问 安全 性 策略 的 操纵 。 

特权 代码 必须 通过 代码 访问 安全 策略 被 授予 适当 的 代码 访问 安全 权限 ,保证 它 所 封 
装 的 资源 和 操作 不 会 公开 给 不 可 信 的 和 可 能 有 亚 意 的 代码 。 例 如 ,. NET Framework 代 
码 访问 安全 机 制 通过 执行 堆栈 审核 来 检查 授予 调用 代码 的 权限 。 但 是 ,有 时 覆盖 该 行为 
并 绕 过 堆栈 审核 是 必要 的 ,例如 , 当 想 用 沙 箱 限 制 特 权 代码 或 分 离 特权 代码 时 。 但 这 样 就 
公开 了 代码 ,有 可 能 诱发 恶意 攻击 。 恶 意 代码 可 以 通过 可 信 的 中 间 代 码 调 用 代码 。 覆 六 
代码 访问 安全 权限 默认 的 安全 行为 时 要 认证 ,并 要 采取 适当 的 安全 措施 。 

(5) 记录 安全 配置 文件 。 

确定 输入 验证 .身份 验证 .授权 .配置 管理 以 及 其 他 应 用 程序 最 容易 受到 攻击 的 区 域 
等 使 用 的 设计 和 实现 方法 ,为 应 用 程序 创建 一 个 安全 配置 文件 。 


4 识别 威胁 
牢记 攻击 者 的 目标 ,利用 对 应 用 程序 的 体系 结构 和 潜在 缺陷 的 了 解 , 找 出 可 能 影响 应 
用 程序 的 威胁 。 


还 可 以 使 用 以 下 两 种 基本 方法 来 识别 威胁 : 

(1) 利用 STRIDE 模型 来 识别 威胁 。 微 软 公司 提出 使 用 STRIDE 模型 来 进行 威胁 
建 模 ,STRIDE 由 Spoofing( 人 假冒 )、Tampering( 算 改 )、Repudiation (抵赖 )、Information 
Disclosure( 信 息 泄 露 ) .Denial of Service( 拒 绝 服务 ) 和 Elevation of Privilege( 权 限 提升 ) 
的 第 一 个 字母 组 合 而 成 ,代表 这 6 类 主要 的 威胁 ,如 表 2-1 所 示 。 

表 2-1 STRIDE 模型 针对 的 6 类 主要 威胁 

假冒 模仿 其 他 人 或 实体 伪装 成 microsoft. com 或 ntdll. dll 

自 改 修改 数据 或 代码 修改 硬盘 ` DVD 或 网 络 数 据 包 中 的 DLL 
“我 没有 发 送 过 那 封 电子 邮件 。”“ 我 没有 修改 过 那个 
文件 ”我 确实 没有 访问 过 那个 网 站 。” 
把 信息 披露 给 那些 无 权 知道 | 允许 某 人 阅读 Windows 源 代码 ;公布 菏 个 Web 网 站 
的 人 的 用 户 清 单 
使 得 Windows 或 Web 网 站 骨 溃 ,发 送 数据 包 并 耗 尽 
CPU 时 间 ,将 数据 包 路 由 到 某 个 黑洞 中 


允许 远 程 因特网 用 户 执行 命令 ,让 受 限 用 户 获得 管理 
员 权 限 


抵赖 声称 没有 执行 某 个 操作 


信息 泄露 


拒绝 服务 | 拒绝 为 用 户 提 供 服务 


权限 提升 | 获得 非 授 权 访 问 权 





这 6 拓 主 要 威胁 和 系统 安全 属性 征 密 切 相 关 的 ,理解 威胁 也 就 定理 解 软件 系统 的 安 
全 目标 。 这 些 威胁 影响 的 安全 属性 如 表 2-2 所 示 。 
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表 2-2 6 类 主要 威胁 影响 的 安全 属性 





威胁 | 受 影响 的 安全 属性 说 明 

假冒 鉴别 用 户 身份 是 否 合法 和 正确 

自 改 数据 和 系统 资源 只 限 适当 的 人 员 以 适当 的 方式 进行 更 改 
抵赖 用 户 ( 合 法 或 非法 ) 不 能 否认 自己 的 行为 和 与 行为 关联 的 内 容 
信息 泄露 | ”机 密 性 资源 只 限 拥有 权限 的 人 员 访 问 

拒绝 服务 系统 在 需要 时 一 切 就 绪 , 可 以 正常 执行 操作 


特权 提升 明确 允许 或 拒绝 用 户 访问 资源 


使 用 STRIDE 模型 进行 威胁 建 模 ,应 按照 确定 建 模 对 象 .识别 威胁 . 评 佑 威胁 以 及 消 
除 威胁 4 个 步骤 反复 循环 进行 , 百 到 所 有 的 威胁 所 市 来 的 风险 都 在 可 接受 范围 之 内 。 

(2) 使 用 分 类 的 威胁 列表 。 首 先 将 威胁 根据 网 络 、 主 机 和 应 用 程序 的 种 类 进行 分 组 ， 
形成 威胁 列表 。 然 后 将 威胁 列表 应 用 到 应 用 程序 体系 结构 中 ,对 照 检 查 早期 发 现 的 任何 
缺陷 ,排除 无 关 的 威胁 。 

在 这 个 阶段 执行 下 列 任务 : 

(1) 识别 网 络 威胁 。 

这 是 网 络 设计 者 和 管理 员 的 任务 。 分 析 网 络 拓扑 、 数 据 包 的 流动 ,以 及 路 由 需 、 防 火 
载 和 交换 机 配置 ,寻找 淤 在 的 缺陷 ,还 要 注意 虚拟 专用 网 (Virtual Private Network， 
VPN) 端 点 。 

在 这 一 步 要 考虑 的 主要 网 络 威胁 如 下 : 

。 利用 依赖 发 送 方 IP 地 址 的 安全 机 制 。 

。 通过 未 加 密 网 络 通道 传送 会 话 标识 竺 或 cookie, 可 能 导致 卫 会 话 被 劫持 。 

。 通过 未 加 密 通 信 通 所 传送 明文 的 喘 份 验证 攒 据 或 其 他 敏感 数据 。 这 可 能 会 导致 

攻击 者 监视 网 络 ,获取 合法 用 户 的 号 份 验证 凭据 ,或 者 获取 并 复 改 其 他 敏感 数据 。 

。 来 自 不 安全 设备 和 服务 需 配 置 的 威胁 。 应 考虑 以 下 问题 : 多 余 的 端口 被 关闭 了 

吗 ? 多 余 的 协议 被 禁用 了 吗 ? 对 路 由 表 和 DNS 服务 需 进 行 保 护 了 吗 ? 对 服务 需 
上 TCP 网 络 堆栈 进行 中 化 了 吗 ? 

(2) 识别 主机 威胁 。 

配置 主机 安全 ( 即 Microsoft Windows 2000 和 . NET Framework 配置 ) 时 ,将 该 配 
分 为 单独 的 几 类 ,这样 就 能 够 以 结构 化 和 逻辑 的 方式 应 用 安全 设置 。 理 论 上 ， tn 
用 于 检查 安全 确定 缺陷 以 及 识别 威胁 。 适 用 于 所 有 服务 各 角色 的 第 用 配置 项 目 包括 补 
丁 和 更 新 、 服 务 、 协 议 、 账 户 、 文 件 和 目录 、 共 至 、 端 口 、 审 查 和 日 忘记 录 。 对 于 每 一 个 配置 
项 目 ,都 要 检查 可 能 的 易 党 攻击 的 设置 ,从 这 些 设置 中 识别 威胁 。 

在 这 一 步 要 考虑 的 主要 主机 威胁 如 下 : 

。 未 打 补 丁 的 服务 胡可 能 遭受 病毒 、 特 阁 伊 木 马 . 晴 虫 和 IIS 攻击 。 

。 使 用 非 必需 的 病 口 . 协 以 和 服务 。 这 将 增 大 攻击 面 , 使 攻击 者 可 以 收集 信息 并 攻 
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。 允许 未 经 身份 验证 的 匿名 访问 。 
。 使 用 脆弱 的 密码 和 账户 案 略 。 这 可 以 寻 致 攻击 痢 破 解密 码 、 盗 用 身份 和 发 动 拒绝 


服务 攻击 。 


(3) 识别 应 用 程序 威胁 。 

使 用 STRIDE 模型 和 预定 义 的 威胁 列表 来 仔细 检查 应 用 程序 的 安全 配置 文件 的 各 
个 方面 ,集中 考虑 应 用 程序 威胁 、 拉 术 特 有 的 威胁 和 代码 威胁 。 

在 这 一 步 要 考虑 的 主要 应 用 程序 威胁 如 下 : 


使 用 的 输入 验证 不 当 将 导致 器 站 脚本 攻击 、SQL 注入 攻击 和 缓冲 区 溢出 攻击 。 
在 未 加 密 的 网 络 链 路 上 传送 身份 验证 攒 据 或 者 身份 验证 cookie, 会 导致 攻击 者 捕 
获 身 份 验 证 凭据 或 者 支持 会 话 。 

使 用 脆 罚 的 密码 和 账 尸 脓 略 可 能 导致 非 授 权 访 问 。 

保护 应 用 程序 的 配置 管理 (包括 界面 管理 ) 不 当 。 

以 明文 的 形 陈 存储 配置 信息 ,例如 连接 字符 串 和 服务 账户 凭据 。 

越权 使 用 进程 和 服务 账户 。 

使 用 不 安全 的 数据 访问 编码 技术 ,这 可 能 会 增 大 SQL 注入 攻击 的 威胁 。 

使 用 脆弱 的 或 者 日 定义 的 加 密 技 术 ,并 且 未 能 充分 保护 密 钥 。 

完全 依赖 从 Web 浏览 磺 传 递 过 来 的 参数 ,例如 窗 体 字 段 ,查询 字符 串 ,cookie 数 
据 以 及 HITP 协 议 头 。 攻 击 痢 可 以 冒 用 其 他 用 尸身 份 , 或 者 在 提交 的 内 容 中 注 
入 恶意 代码 。 

使 用 不 安全 的 异种 处 理 机 制 , 这 可 能 导致 拒绝 服务 攻击 或 者 泄露 对 于 攻击 者 来 说 
非常 有 用 的 系统 级 详细 质料 。 

审核 与 日 忘记 录 不 充分 ,这 可 能 导致 抵赖 。 


5 记录 威胁 
利用 通用 威胁 模板 记录 每 一 种 威胁 。 该 模板 定义 了 一 套 要 捕获 的 各 种 威胁 的 核心 属 


威胁 摘 述 和 威胁 目标 是 威胁 的 基本 属性 ,其 他 属性 还 有 攻击 方法 。 


G 评价 威胁 

在 威胁 建 模 过 程 的 最 后 阶段 对 确定 的 威胁 列表 进行 评价 以 区 分 优先 顺序 。 首 先 处 理 
最 重要 的 威胁 ,因为 这 些 威 胁 币 来 的 危害 最 大 。 在 评价 过 程 中 要 权衡 威胁 的 可 能 性 以 及 
攻击 发 生 时 可 能 造成 的 危 尖 。 评 价 的 第 末 可 能 是 : 通过 对 比 威胁 市 来 的 风险 和 为 消除 威 
腑 所 花费 的 成 本 ,对 于 未 些 威胁 采取 行动 是 不 但 得 的 。 


风险 三 威胁 发 生 的 概 认 XX 洪 在 的 损失 


该 公式 表明 ,特定 威胁 造成 的 风险 等 于 威胁 发 生 的 概率 乘 以 潜在 的 损失 ,这 表明 了 如 果 攻 
击发 生 将 会 对 系统 造成 的 后 果 。 

简单 的 评价 系统 的 问题 在 于 小 组 成 员 对 评价 结果 通常 意见 不 一 。 为 解决 这 个 问题 ， 
可 以 使 用 微软 公司 的 DREAD 模型 来 计算 威胁 的 严重 性 。 通 过 确定 下 列 项 目的 等 级 范 
围 , 就 可 以 得 到 威胁 的 风险 评价 结果 . 

。 破坏 潜力 (Damage potential) ; 如 果 漏 洞 被 利用 ,损失 有 多 大 ? 
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表现 性 (Reproducibility) : 重复 被 利用 的 难度 有 多 大 ? 

可 利用 性 (Exploitability) : 独 洞 锌 利用 的 难度 有 多 大 ? 
受 影 啊 的 用 户 (Affected users) : 多 少 用 户 可 能 受到 影 啊 ? 
可 发 现 性 (Discoverability) : 漏洞 容易 被 发 现 吗 ? 

DREAD 由 上 述 5 个 项 目的 英文 首 字 母 组 成 。 

对 大 多 数 项 目 来 说 ,等 级 范围 为 1 一 3 ,依次 从 严重 到 人 危害 小 。 


253 威胁 建 模 的 输出 与 缓解 


威胁 建 模 过 程 的 输出 是 回 项 目 成 员 提 交 一 份 工 作 项 目 报告 ,内 容 包括 应 用 程序 体系 
结构 安全 方面 的 记录 和 评价 过 的 威胁 列表 。 该 工作 项 目 报 告 可 使 项 目 成 员 更 加 清楚 地 了 
解 需要 进行 处 理 的 威胁 ,以 及 如 何 对 其 进行 处 理 。 设 计 痢 可 以 利用 它 来 进行 技术 与 功能 
方面 的 安全 设计 决策 ;编写 代码 的 开发 人 员 可 以 利用 它 来 降低 风险 ;测试 人 员 可 以 编写 测 
试用 例 来 测试 应 用 程序 是 否 容 钨 受到 这 些 威胁 的 攻击 。 在 报告 中 ,根据 网 络 .主机 和 应 用 
程序 种 类 来 组 织 威胁 。 这 可 以 使 不 同 角 色 的 不 同 小 组 成 员 更 方便 地 使 用 该 报告 。 在 每 一 
类 中 , 按 优 移 顺 友 排 列 威胁 ,最 前 和 面 的 古 评价 具有 最 部 风 险 的 威胁 ,其 后 古 危 险 较 小 的 
威胁 。 

根据 威胁 的 评 信和 结 采 ,确定 是 否 要 请 际 或 绥 解 该 威胁 的 技术 措施 。 在 设计 阶段 ,可 以 
通过 重新 设计 来 了 是 接 消除 威胁 ,或 采用 技术 手段 来 消除 威胁 。 在 本 阶段 ,应 在 确定 消除 或 
缓解 威胁 的 措施 后 继续 评 佑 是 否 可 以 接受 残余 的 安全 风险 。 

消除 和 缓解 威胁 的 手段 在 计算 机 软件 中 是 多 种 多 样 的 ,第 用 的 技术 如 下 : 

(1) 在 处 理 可 能 来 日 不 可 信和 来 源 的 数据 时 ,安全 软件 必须 验证 其 加 入 。 

(2) 开发 人 员 将 应 用 程序 放 在 沙 盒 中 运行 ,最 小 化 应 用 程序 的 损失 。 

(3) 划分 应 用 程序 并 确保 应 用 程序 的 每 个 部 分 只 能 访问 它 所 需要 的 信息 ,使 信息 泄 
露 风 险 最 小 化 。 

(4) 进行 模糊 测试 ,向 应 用 程序 或 守护 进程 发 送 异 第 数据 ,查看 其 运行 是 否 中 断 , 修 
复 在 这 个 过 程 中 发 生 的 任何 缺陷 。 

(5) 采用 内 置 安全 功能 的 操作 系统 。 

(6) 根据 风险 大 小 ,选择 适当 的 方法 或 技术 来 缓解 每 一 种 威胁 。 威 胁 绥 解 措施 必须 
结合 软件 系统 的 实际 情况 提出 。 可 供 参 考 的 一 些 技术 措施 包括 : 

。 假冒 。 使 用 认证 技术 来 解决 ,如 cookie 认证 ,Kerberos 认证 或 数字 签名 等 技术 。 
算 改 。 使 用 数据 完整 性 技术 来 解决 ,如 采用 哈 硕 录 数 \ 诅 明 认 证 码 \、 数 子 签名 等 密 
抵赖 。 使 用 非 抵 赖 性 服务 技术 来 解决 ,如 强 认 证 ,安全 审计 、 数 字 签 名 、 时 间 惟 等 
信息 泄露 。 使 用 数据 保护 技术 来 解决 ,如 采用 对 称 加 密 . 非 对 称 加 密 等 密码 算法 ， 
或 米 用 访问 控制 手段 限制 访问 ,或 灯 用 隐私 保护 肉 以 你 护 隐 私 数据 的 存 取 等 
技术 。 
拒绝 服务 。 使 用 提高 系统 可 用 性 扩 术 来 解决 ,如 对 服务 对 象 采用 过 滤 、 认 证 、 授 
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EGG 代码 福全 IE 


权 、 配 额 等 技术 对 合法 用 户 访问 量 进行 控制 ,采用 流量 控制 搁 术 来 保护 系统 的 稳 
定 运行 ,采用 负载 均衡 技术 来 提高 系统 整体 服务 能 力 等 。 

特权 提升 。 使 用 严格 授权 和 限制 访问 技术 来 解决 ,如 采用 访问 控制 列表 、 授 权 管 
理 等 技术 对 用 户 进 行 严 格 授权 ,同时 要 求 软件 系统 以 最 低 权 限 运行 ,各 模块 设计 
以 最 小 权限 执行 ,等 等 。 
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3 
本 C 和 CH+ 安全 编码 


随 独 信息 通信 技术 和 互联 网 技术 的 飞速 发 展 , 网 络 不 仅 改 变 了 了 人们 的 生活 方式 ,还 推 
动 了 传统 工业 、 新 兴 服 务 业 和 信息 产业 的 快速 发 展 ,市 动 了 国民 经 济 发 展 和 社会 进步 。 互 
联网 未 渐 改 变 了 人 们 的 生活 方式 ,而 C 和 C+t+ 人 和 任 信 其 强大 的 压 层 操作 能 力 ,在 网 络 的 飞 
速 发 展 过 程 中 扮演 了 一 个 极其 重要 的 角色 。 本 章 介 绍 C 和 C++ 开 发 安全 现状 .C 和 C++ 
常见 安全 着 洞 以 及 C 和 C++ 安全 编码 规范 。 


3 C 和 C++ 开发 安全 现状 


TIOBE 编程 语言 排行 榜 如 图 3-1 所 示 。C 和 C++ 比 其 他 的 高 级 语言 拥有 更 强大 
的 压 层 操作 能 力 , 因 而 有 具有 功能 强大 ,效率 高 的 优点 ,各 种 操作 系统 的 实现 部 大 量 使 用 
C 和 C++ 进行 开发 ,对 效率 有 较 高 要 求 的 服务 程序 以 及 对 啊 应 速度 有 较 高 要 求 的 客户 
端 程序 也 大 多 使 用 C 和 C++ 开发。C 和 C++ 的 应 用 领域 非常 广泛 ,无 论 是 操作 系统 、 
训 览 硕 、. 通 人 式 开 发 还 是 诉 戏 引擎 .各 类 编辑 融 开 发 ,C 和 C++ 部 占有 非常 大 的 市 场 
份额 。 
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3-1 TIOBE 编程 语言 排行 榜 


C 和 C++ 语言 拥有 强大 的 内 存 操控 能 力 , 具 有 指针 、 动 态 内 存 分 配 等 特点 ,这 些 特 点 
带 给 C 和 C++ 语 言 强大 的 生命 力 。 但 是 ,因为 C/C++ 语言 缺乏 内 存 检查 机 制 ,因此 比较 
容易 出 现 非法 指针 解 引 用 、 内 存 泄漏 等 一 系列 安全 漏洞 ,所 以 C/C++ 语言 不 适合 编写 对 
安全 性 要 求 高 的 程序 。 


代码 安全 


在 C 和 C++ 语言 中 ,大 多 数 缓冲 区 洲 出 问题 可 以 二 接 妃 溯 到 标准 C 和 C++ 语言 库 ， 
但 是 在 用 C 和 C++ 语 言 编写 的 程序 中 仍然 会 调用 这 些 存在 汤 洞 的 危险 图 数 , 因 为 开发 人 
员 往 往 不 知道 如 何 避 免 使 用 这 些 危 险 函 数 。 即 使 有 些 开 发 人 员 获 得 安全 提示 ,但 是 由 于 
明 数 使 用 规则 录 活 多 样 ,即使 是 优秀 的 开发 人 员 也 不 能 完 瑞 地 人 避 开 这 些 安全 陷阱 。 他 们 
会 在 危险 函数 的 目 变 量 上 使 用 目 己 编写 的 检查 代码 ,或 者 错误 地 认为 在 某 些 特殊 情况 下 
使 用 有 浴 在 危险 的 函数 是 安全 的 。 

使 用 C 和 C++ 培 言 编码 的 程序 员 学 习 和 关注 的 大 部 是 程序 的 逻辑 性 和 可 用 性 。 在 
没有 边界 检查 机 制 的 编程 语言 里 ,逻辑 可 能 会 走 错 路 ,因为 计算 机 可 以 访问 和 执行 任意 内 
三 中 的 内 容 , 而 且 访 问 的 内 容 大 多 是 和 程序 中 的 代码 和 变量 没有 关系 的 ,所 有 没有 边界 检 
得 的 编程 声言 会 将 计算 机 的 多 个 维度 骏 露 给 程序 ,因此 极 急 引 入 狂 润 ,造成 不 同 程度 的 
危害 。 

心脏 滴 血 洗 润 就 是 C 和 C++ 语言 屿 乏 边 界 检查 机 制造 成 的 缺陷 ,因为 这 个 源 润 不 是 
普通 的 被 触发 的 动作 ,因此 它 无 法 被 Valgrind 这 样 的 工具 检查 出 来 ,而 是 需要 通过 恶意 
的 行为 或 足够 鲁能 的 测试 协议 才能 发 现 , 但 这 通 第 是 十 分 困难 的 。 

此 外 ,C 和 C++ 坪 言 不 能 够 目 动 地 进行 边界 检查 ,这 样 会 叶 致 一 系列 安全 隐患 。 但 
同时 ,不 进行 边界 检查 使 得 C 和 和 C++ 语言 的 效 认 得 到 大 幅度 的 提升 ,因此 边界 检查 的 代 
价 是 程序 的 效率 。 一 般 来 讲 ,C 和 C++ 语言 在 大 多 数 情 况 下 注重 效率 。 然 而 ,获得 较 高 
效率 的 代价 是 和 C++ 二 言 程序 员 必须 十 分 懈 觉 并且 有 极 强 的 安全 意识 ,这 样 才能 防止 
他 们 的 程序 出 现 问题 ,而 且 即 使 这 梓 ,使 代码 不 出 问题 也 不 容易 。 很 多 开发 人 员 对 边界 检 
但 的 危害 了 解 得 并 不 多 ,因此 也 更 容易 忽视 代码 安全 开发 。 


32  C 和 和 C++ 常见 安全 漏洞 


如 条 软件 开发 人 员 的 安全 编程 能 力 和 水 平 不 够 ,在 软件 开发 的 过 程 中 就 会 引入 漏洞 。 
以 下 是 C 和 C++ 常见 的 安全 漏洞 。 


321 绥 冲 区 浴 出 户 洞 


缓冲 区 是 指 程序 中 定义 的 存储 数据 的 一 组 地 址 连续 的 内 存单 元 。 绥 冲 区 湾 出 是 指 从 
缓冲 区 读数 据 或 者 回 缓冲 区 写 数 据 时 超出 了 缓冲 区 定义 的 容量 ,从 而 覆盖 了 缓冲 区 以 外 
的 其 他 内 和 存 数 据 的 现象 。 绥 冲 区 洲 出 是 一 个 令 人 头疼 的 问题 ,因为 在 软件 的 开发 和 测试 
阶段 并 非 总 能 发 现 该 问题 。 

然而 ,并 非 所 有 的 缓冲 区 洲 出 都 会 造成 软件 涯 洞 。 如 果 攻 击 者 能 够 通过 操纵 用 户 输 
入 来 利用 安全 缺陷 ,那么 缓冲 区 溢出 就 会 导致 源 洞 了 。 例 如 ,有 一 些 广 为 人 知 的 技术 可 以 
用 于 覆 写 栈 帧 来 执行 任意 的 代码 。 缓 冲 区 溢出 也 可 以 在 堆 或 静态 内 存 区 域 被 利用 ,方法 
是 履 与 邻接 内 存单 元 的 数据 。 

ASA Heartbleed 是 最 第 见 的 心脏 滴 血 汤 润 ,其 CVE 编号 为 CVE-2014-0160 ,简化 后 
的 漏洞 相关 代码 如 下 : 
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var subltem: 
uint32 lengthToUIin32Max = length.IsSmallIndex() ? length.GetSmallindex!() : 





MaxArrayLength.; 
for (yint32 idxSubltem = Ou; idxSubltem < lengthTloUIin32Max; ++IdxSubltem) 
人 
If (JavascriptOperators::HasItem(itemObject, 1dxSubltem)) 
| 
subltem = JavascriptOperators::Getltem(itemObjyect, idxSublItem, scriptContext); 
/ 将 GetItem 的 返回 值 赋 给 sublten 
上 (pDestArray){ 生生 en 
pDestArray->DirectSetItemAt(idxDest, subltem); 
else{ 
SetArrayLikeObjects(pDestOb], IdxDest subltem); 
} 
} 
++IdxDest; 
} 
漏洞 修复 方式 如 下 : 


hbtype =“p++; 
n2s(p, payload); 


if (1+2+payload +16 >s->s3->rrec.length) 《 检查 payload 的 长 度 


return 0; /* silently discard per RFC 6520 sec. 4 */ 
pl=p; 


322 释放 后 使 用 漏洞 


释放 后 使 用 (Use After Free,UAF) 产 洞 是 指 程序 中 错误 地 保留 了 对 已 释放 的 内 存 
对 和 象 的 引用 ,继续 访问 已 释放 的 内 存 。 这 种 源 洞 在 浏览 如 程序 中 出 现 得 非 第 多 ,利用 
UAF 源 洞 进行 挂 马 的 网 络 攻击 也 层出不穷 。 这 种 源 洞 原理 和 利用 流程 如 图 3-2 所 示 。 


图 3-2 ”释放 后 使 用 漏洞 的 原理 和 利用 流程 















大 量 申请 与 A 同样 大 小 的 对 | 
象 X, 使 A 释放 内 存 并 将 其 分 | 


oy 


代码 安全 


释放 后 使 用 狂 润 在 训 览 省 中 的 示例 如 下 : 


<ldoctype html> 

<|--Tested on win7 x86 IE9 version(9.0.8112.16555) with page heap enabled --> 
<html> 

<body onload="test();"> 

<script> 

function randEventListener() 


document.write("475046") 


} 


function test!) 


elm = document.createElement('title'") 
document.body.appendChild(elm) 
document.attachEvent{("onpropertychange", randEventListener) 
document.body.outerHTML= document,body.outerHTML 

o= document.all[0] 

oO.textContent=" 


} 
</script> 
</body> 
</html> 


323” 整 型 洲 出 漏洞 

在 计算 机 中 ,整数 分 为 无 符号 整数 以 及 有 符号 整数 两 种 。 其 中 有 符号 整数 会 在 最 高 
位 (符号 位 ) 用 0 表示 正 数 ,用 1 表示 负数 ,而 无 符号 整数 则 没有 这 种 限制 。 整 数 溢出 就 是 
将 整 型 数据 放 入 比 它 小 的 存储 空间 中 ,从 而 导致 溢出 。 

一 般 来 说 ,主要 有 以 下 3 类 整 型 溢出 漏洞 

(1) 无 符号 整数 的 下 溢 和 上 溢 。 

编程 语言 定义 的 数据 类 型 都 有 其 数据 取 值 范围 。 当 超过 这 个 取 值 范围 时 ,其 取 值 会 
从 另 一 端的 取 值 端点 返回 。 例 如 ,一 个 短 整 型 数 变量 的 取 值 范围 是 0~65 535。 当 初始 值 
为 65 535 时 进行 十 1 操作 ,该 数值 将 返回 至 初始 点 , 即 0, 这 种 情况 称 为 上 洪 ; 而 当初 始 值 
为 0 时 进行 一 1 操作 ,该 数值 将 变 为 65 535, 这 种 情况 称 为 下 溢 。 

(2) 符号 问题 。 关 于 这 个 问题 ,有 以 下 3 点 需要 注意 ， 

。 有 符号 整数 之 间 的 比较 。 

。 有 符号 整数 的 运算 。 

。 无 符号 整数 和 有 符号 整数 的 比较 。 

(3) 截断 问题 。 这 个 问题 主要 发 生 在 将 位 数 较 多 的 整数 (如 32 位 整数 ) 复 制 到 位 数 
较 少 的 整数 (如 16 位 整数 ) 时 。 

324 空 指 针 解 引用 漏洞 

指针 变量 可 以 指向 堆 地 址 .静态 变量 和 空地 址 单元 。 空 指针 解 引用 是 指 当 引用 指向 
空地 址 单元 的 指针 变量 时 ,就 会 产生 不 可 预见 的 错误 ,导致 软件 系统 崩溃 。 空 指针 引用 漏 
洞 可 能 导致 系统 崩溃 拒绝 服务 等 诸多 不 良 后 果 。 

空 指针 引用 漏洞 主要 存在 于 操作 系统 、 服 务 器 应 用 程序 等 软件 系统 中 。 这 些 漏 洞 一 
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日 被 恶意 攻击 者 利用 , 束 可 能 导致 系统 毅 浊 ,服务 筑 程 序 可 能 会 拒绝 服务 ,或 者 使 机 密 信 
县 泄露 ,这些 都 将 严重 地 影响 软件 的 运行 以 及 系统 的 安全 。 


例如 , Windows 针对 传递 给 Windows 内 核 系统 调用 的 注册 键 值 没有 进行 充分 的 校 
验 。 攻 击 者 通过 运行 特殊 构建 的 应 用 程序 ,使 内 核 触发 空 指针 引用 漏洞 而 造成 系统 甬 溃 。 
Linux Kernel 是 Linux 所 使 用 的 内 核 , 其 kernel/posix-timers. c 文件 中 的 clock _ 
nanosleep() 图 数 存 在 安全 漏洞 ,如 朱 使 用 等 于 CLOCK_MONOTONIC_ RAW 的 时 钟 ID 
调用 该 困 数 ,融会 天 发 空 指针 引用 狂 洞 ,导致 拒绝 服务 的 情况 。 关 闭 套 接 字 后 重 置 没有 阻 
止 对 已 经 废 莽 的 套 接 字 的 操作 ,可 造成 空 指 针 引 用 着 洞 。 

325 格式 化 字符 串 漏洞 

格式 化 字符 串 漏 洞 指 软 件 使 用 了 格式 化 字符 串 作 为 参数 , 且 该 格式 化 字符 串 来 自 外 
部 输入 。 会 触发 该 源 洞 的 函数 很 少 ,主要 有 printf() 、sprintf() fprintf() 等 图 数 。 

在 上 述 函 数 中 使 用 的 基本 的 格式 化 字符 参数 如 下 : 

%c: 输出 字符 ,结合 %n 可 用 于 回 指定 地 址 写 数 据 。 

%d: 输出 十 进 制 整数 ,结合 %n 可 用 于 癌 指定 地 址 写 数据 。 

%x: 输出 十 六 进 制 数 据 ,如 %1$ x 表示 输出 地 址 偏 移 量 为 i 的 4 字 节 长 的 十 六 进 制 
数据 ,%i$ lx 表示 输出 地 址 偶 移 量 为 i 的 8 字 节 长 的 十 六 进 制 数据 ,这 在 32 位 和 64 位 环 
境 下 是 一 样 的 。 

%p: 输出 十 六 进 制 数据 ,与 为 x 基本 一 样 ,只 是 附加 了 前 级 0x, 在 32 位 环境 下 输出 4 
字 节 ,在 64 位 环境 下 输出 8 字 节 ,可 通过 输出 字 节 的 长 度 来 判断 目标 环境 是 32 位 环境 还 
是 64 位 环境 。 

为 s: 输出 字符 串 , 如 %i$s 表示 输出 地 址 偶 移 量 为 1 的 地 址 所 保存 的 字符 串 , 这 在 
32 位 和 64 位 环境 下 是 一 样 的 ,可 用 于 读 取 GOT 表 等 信息 。 

Mn: 将 %n 之 前 printf() 已 经 打印 的 字符 个 数 赋值 给 偶 移 处 指针 所 指 回 的 地 址 ， 
如 %100x10 $n 表示 将 0x64 写 人 偶 移 10 的 指针 所 指 问 的 地 址 (4 字 方 ) ,而 为 $hn 表示 
写 人 的 地 址 空间 为 2 字 节 ,%$ hhn 表示 写 入 的 地 址 空间 为 1 字 节 ,和 %$ lln 表示 写 人 的 
地 址 空间 为 8 字 节 ,这 在 32 位 和 64 位 环境 下 是 一 样 的 。 有 了 时 ,和 卫 接 写 4 字 市 会 导致 程序 
朋 沉 或 守候 时 间 过 长 ,可 以 通过 %$ hn 或 %$ hhn 来 适当 调整 。 

Mn 是 通过 格式 化 字符 串 漏洞 改变 程序 流程 的 主要 方式 ,而 其 他 格式 化 字符 串 参 数 
可 用 于 读 取 信息 或 配合 为 n 写 数据 。 

格式 化 字符 串 漏 洞 在 利用 时 分 为 两 种 : 

(1) 有 二 进 制 程序 且 格 式 化 字符 串 在 栈 中 。 由 于 格式 化 字符 串 束 保存 在 栈 中 ,可 以 
比较 方便 地 利用 %n 来 写 入 数据 以 修改 控制 流 。 

(2) 有 二 进 制 程序 且 格 却 化 字符 串 不 在 栈 中 。 由 于 格式 化 子 符 串 是 傈 存在 堆 中 的 ， 
不 能 像 保 存在 栈 中 那样 直接 修改 函数 返回 地 址 。 此 时 ,可 以 通过 %” $n 实现 堆栈 互 换 , 达 
到 修改 返回 地 址 的 目的 。 
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326 ”内存 泄漏 


内 存 泄漏 是 指 程序 中 已 动态 分 配 的 堆 内 存 由 于 某 种 原因 未 被 释放 或 无 法 释放 ,造成 
系统 内 存 的 浪费 ,导致 程序 运行 速度 减 慢 甚至 系统 骨 溃 等 严重 后 果 。 

内 存 泄漏 按照 产生 的 方式 可 以 分 为 4 类 ， 

(1) 常 发 性 内 存 泄漏 。 发 生 内 存 泄 漏 的 代码 会 被 多 次 执行 ,每 次 被 执行 时 都 会 导致 
一 个 内 存 区 域 泄漏 。 

(2) 偶发 性 内 存 泄漏 。 发 生 内 存 泄漏 的 代码 只 有 在 某 些 特定 环境 或 操作 过 程 下 才 会 
被 执行 。 常 发 性 内 存 泄漏 和 偶发 性 内 存 泄漏 是 相对 的 。 对 于 特定 的 环境 ,偶发 性 内 存 湛 
漏 也 许 就 变 成 了 常 发 性 内 存 泄漏 。 所 以 测试 环境 和 测试 方法 对 检测 内 存 泄 漏 至 关 重 要 。 

(3) 一 次 性 内 存 泄漏 。 发 生 内 存 泄漏 的 代码 只 会 被 执行 一 次 ,或 者 由 于 算法 上 的 缺 
陷 , 导 致 总 会 有 一 个 且 仅 有 一 个 内 存 区 域 发 生 泄漏。 

(4) 隐 式 内 存 泄漏 。 程 序 在 运行 过 程 中 不 停 地 分 配 内 存 , 直 到 运行 结束 的 时 候 才 释 
放 内 存 。 严 格 地 说 ,这 里 并 没有 发 生 内 存 泄漏 ,因为 最 终 程序 释放 了 所 有 申请 的 内 存 。 但 
是 一 个 服务 器 程序 往往 需要 运行 几 天 、 几 周 甚至 几 个 月 ,不 及 时 释放 内 存 也 可 能 导致 最 终 
耗 尽 系统 的 所 有 内 存 ,所 以 称 这 类 内 存 泄漏 为 隐 式 内 存 泄漏。 

327 二 次 释放 漏洞 

二 次 释放 (double free) 是 指 程序 分 配 一 个 内 存 区 域 之 后 ,经 过 使 用 将 这 个 内 存 区 域 
释放 ,但 并 没有 将 指向 这 个 内 存 区 域 的 所 有 指针 清 零 或 回收 ,并 在 其 他 地 方 再 次 将 指向 同 
一 个 内 存 区域 的 指针 交 给 内 存 分 配器 进行 释放 操作 。 该 漏洞 可 能 导致 程序 崩 演 ,信息 洪 
露 或 任意 代码 执行 等 后 果 。 此 漏洞 的 原理 和 利用 流程 如 图 3-3 所 示 ， 


释放 对 象 A 







| 。 申请 同样 天 
小 的 对 名 










再 次 释放 对 象 A， 
实际 上 释放 了 B 
的 内 存 










申请 同样 大 


B 的 内 存 已 被 X 填 充 ，X 调 
小 的 对 象 X 


用 B 的 方法 执行 任意 代码 








3-3 二 次 释放 漏洞 的 原理 和 利用 流程 


以 下 是 Windows afd. sys 触发 二 次 释放 漏洞 的 过 程 ; 
(1) IOCTL 0xl1207f(afd!AfdTransmitFile) 会 创建 一 个 TpInfo 结构 ,该 结构 中 的 


0x40 处 是 TpInfoElement 数组 , TpInfoElement 数组 的 0x10 处 指 问 MDL (Memory 
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Descriptor List, 内 存 描述 符 列 表 ) 结 构 。 

(2) AfdTransmitFile 在 返回 前 调用 afd!1AfdReturnTplInfo 释放 MDL 。 

(3) 在 IOCTL 0xl20c3(afd!AfdTransmitPackets) 调 用 中 存在 一 条 路 径 ,会 再 次 释 
放 之 前 已 经 释放 的 MDL ,造成 系统 裔 泪 。 


328 类 型 混淆 漏洞 


类 型 混 消 漏洞 指 程序 将 指针 、 对象 等 贫 源 初始 化 为 一 种 类 型 ,随后 以 万 一 种 (并 不 碌 
容 的 ) 类 型 对 这 些 资 源 进 行 访问 。 

例如 ,微软 公司 曾 修 补 了 一 个 CVE 编号 为 CVE-2015-1641 的 Word 类 型 混 消 漏洞 。 
攻击 者 可 以 构造 艇 人 了 docx 的 rtf 文档 进行 攻击 。Word 在 解析 docx 文档 ,处 理 
displacedByCustomXML 属性 时 未 对 customXML 对 象 进行 验证 ,可 以 传人 其 他 标签 对 
象 进 行 处 理 , 造 成 类 型 混 消 ,导致 任意 内 存 写 人 。 最 终 , 经 过 精心 构造 的 标签 以 及 相应 的 
属性 值 可 以 远程 执行 任意 代码 。 


329 未 初始 化 漏洞 

未 初始 化 漏洞 是 指 对 程序 中 变量 或 对 象 未 赋予 初始 值 就 直接 使 用 。 未 初始 化 的 内 存 
中 存储 的 值 是 随机 的 ,因此 该 地 址 处 的 变量 值 就 是 随机 的 ,会 对 程序 的 运行 造成 不 可 预计 
的 影响 。 在 严重 的 情况 下 ,未 初始 化 漏洞 可 能 导致 信息 泄露 和 任意 代码 执行 。 此 漏洞 的 
利用 方法 如 图 3-4 所 示 ， 





未 初始 化 变量 a 随机 值 在 该 地 址 写 人 任意 值 AAAA 


全 栈 
图 3-4 未 初始 化 漏洞 的 利用 方法 


以 Chakra 引擎 concat 方法 未 初始 化 漠 洞 为 例 ,与 漏洞 相关 的 代码 如 下 : 


代码 笑 全 


var subltem: 

uint32 lengthToUin32Max = length.IsSmallIndex() ? length.GetSmallIndex() : 
MaxArrayLength; 

for (uint32 idxSubItem = Ou; idxSubItem < lengthTloUin32Max; ++idxSubItem) 


if (JavascriptOperators::Hasltem(itemObject, idxSubltem)) 
JavascriptOperators::Getltem(itemObject, idxSubltem, &subItem, scriptContext); 
if (pDestArray) 
{ 


pDestArray->DirectSetltemAt(idxDest, subltem); 


上 述 代 码 未 对 subItem 进行 初始 化 ,因此 造成 未 初始 化 洗 洞 。 修 复 代 码 如 下 : 


var subltem; 

Uint32 lengthToUin32Max = length.lIsSmalllIndex() ? length.GetSmalllndex() : 
MaxArrayLength:; 

for (uint32 idxSubItem = Ou; idxSubltem < lengthToUin32Max; + +idxSubltem) 


if (JavascriptOperators::Hasltem(itemObject, idxSubltem)) 


subltem = JavascriptOperators::Getltem(itemObject, idxSubltem, scriptContext); 
将 Getltem 的 返回 值 赋 给 subltem 


if (pDestArray){ 
pDestArray-> DirectSetltemAt(idxDest, subltem); 
} 


elsef 
SetArrayLikeObjects(pDestOb], IdxDest, subltem); 





| 


++idxDest: 


33  C 和 C++ 安全 编码 规范 


主要 的 C 和 C++ 安全 编码 规范 如 下 : 

(1) poeple ;入 明文 口令 密码 、 映 份 证 等 用 户 敏 感 信息。 

(2) 不 要 通过 日 志 打 印 明 文 密码 等 敏感 信息 。 为 了 方便 地 跟 踊 程序 运行 过 程 中 的 信 
县 ,通过 日 志 打 印信 息 是 程序 员 编 写 代 码 时 稼 用 的 一 种 调试 方式 。 应 避免 在 日 志 中 打印 
明文 密码 等 敏感 信息 。 

(3) 对 不 安全 C 和 C++ 库 图 数 进行 重 写 后 再 调用 。 以 C++ 为 例 ,C++ 中 的 字符 串 函 
数 均 为 不 安全 函数 , 当 相 关 参 数 可 以 被 外 界 控制 时 ,就 会 导致 溢出 漏洞 。 重 写 这 些 函 数 的 
关键 是 在 图 数 内 部 检查 输入 参数 的 合法 性 ,例如 , 源 字 符 串 长 度 不 超过 目的 字符 串 长 度 ， 
最 后 一 个 \0 要 进行 特殊 处 理 ,等 等 。 

(4) 定义 了 指针 成 员 变 量 .静态 成 员 变 量 的 类 必须 重 写 找 贝 构造 图 数 。 在 C++ 中 ， 
有 3 种 情况 需要 调用 拷贝 构造 图 数 : 

J 对 象 以 值 传递 的 方式 传递 给 函数 参数 。 

对 象 以 值 传递 的 方式 从 图 数 返回 。 

对 象 需要 使 用 另 一 个 对 象 进行 初始 化 。 
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(5) 定义 为 基 类 的 析 构 男 数 必须 定义 为 虚 图 数 。 例 如 ， 

Class Af}; 

Class B : public Af} 

A *a = New B(); 

如 来 不 将 类 A 的 析 构 函数 定义 为 虚 限 数 ,那么 在 通过 delete a 释放 存储 空间 时 ,派生 
类 的 对 和 象 的 存储 空间 不 会 被 释放 (派生 类 的 析 构 销 数 不 会 被 调用 )。 相 及 ,如 来 不 守 要 基 
类 对 派生 类 及 对 和 象 进行 操作 , 则 不 能 将 析 构 孙 数 定义 为 虚 函 数 ,因为 这 样 会 增加 内 存 
开销 。 

(6) 注意 线程 安全 。 在 多 线程 的 环境 下 需要 考虑 并 发 .线程 同步 、 互 斥 锁 等 相关 概 
念 ,任何 操作 部 会 有 其 他 线程 苑 争 当 前 线程 的 资源 。 

(7) 对 不 安全 加 解密 算法 进行 检查 。 不 可 逆 加 密 算 法 md5、shal、RSA( 小 于 1024 
位 ) 和 可 逆 加 密 算法 AES( 小 于 128 位 )、.DES(KI\K2\K3 至 少 有 两 个 相同 ) 均 为 不 安全 
算法 ,要 避免 使 用 。 同 时 ,在 不 需要 还 原 业 务 数 据 的 情况 下 要 使 用 不 可 逆 加 密 算 法 。 使 用 
哈 希 算法 时 最 好 要 加 一 个 盐 (salt) 值 。 

(8) 注意 整数 操作 安全 。 有 符号 整数 操作 要 避免 次 出 ,无 符 亏 整数 操作 要 避免 反 转 。 
以 32 位 整数 为 例 , 有 符号 整数 的 取 值 范 围 是 一 2”~2” 一 1, 无 符号 整数 的 取 值 范围 是 
0 一 2 一 1。 对 有 符号 整数 和 无 待 号 整数 进行 操作 时 ,要 提前 判断 操作 绪 采 是 人 否 会 超出 合 
法 的 取信 范围。 例如 ,对 有 符号 整数 numl 和 num2 进行 相 加 操作 时 , 震 要 判断 ; 


1 (numl > MBX— nine) 


如 采 条 件 成 立 , 则 计算 结 采 会 洲 出 。 
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第 十 帝 
的 Java 安 全 编码 


互联 网 的 飞速 发 展 使 Java 成 为 当今 最 流行 的 网 络 编程 语言 。 无 论 是 企业 级 应 用 还 
是 面 加 大众 的 服务 应 用 ,基于 Java 的 应 用 开发 都 变 得 越 来 越 重 要 。 然 而 , 随 独 Java 应 用 
的 普及 和 深入 ,各 种 安全 汤 洞 不 断 出 现 。 这 也 使 得 人 们 越 来 越 重 视 编码 安全 问题 。 本 曹 
自 先 介绍 Java 开发 的 安全 现状 ,其 次 对 第 见 的 Java 安全 源 洞 进行 分 析 , 并 提出 防御 措 
施 ,最 后 介绍 Java 安全 编码 规范 ,以 指 寻 开发 人 员 进 行 安 全 编码 。 


41 ”Java 开发 安全 现状 


随 看 互联 网 的 发 展 ,Java 语言 的 诸多 优点 引起 了 软件 开发 人 员 极 大 的 关注。Java 以 
其 面 回 对 象 . 蜂 平 台 .安全 性 、 多 线程 等 特点 而 成 为 许多 应 用 系统 的 理想 开发 语言 。 它 可 
以 用 来 进行 面 回 对 象 的 应 用 开发 .可 视 化 和 可 操作 化 的 软件 开发 .动态 画面 的 设计 和 调 
试 数据库 的 操作 和 连接 设计 等 。 作 为 现 阶 段 最 流行 的 网 络 编 程 语 言 ,Java 在 金融 、 电 
信 ,制造 、 在 线 电子 商务 软件 等 领域 都 得 到 了 普 过 应 用 。 

Java 是 由 Sun Microsystems 公司 推出 的 程序 设计 语言 和 平台 的 总 称 。Java 语言 是 
一 种 能 够 编写 路 平台 应 用 程序 的 计算 机 语言 ,具有 结构 清晰 、 霹 法 简单 等 特点 。Java 平 
台 由 Java 虚拟 机 (Java Virtual Machine) 和 Java 应 用 编程 接口 (Application 
Programming Interface,API) 两 部 分 构成 。Jarva 虚拟 机 是 运行 所 有 Java 程序 的 抽象 计算 
机 ,是 实现 Java 语言 路 平 台 特 性 的 关键 。 大 多 数 声言 需要 移 编 详 成 目标 代码 ,再 在 相应 
的 平台 上 运行 ;而 在 Java 中 ,由 于 已 经 租 人 了 了 几乎 所 有 的 操作 系统 ,因此 Java 程序 只 需 
编 详 一 次 ,就 可 以 不 加 任何 修改 地 在 各 种 系统 中 运行 。Java API 是 一 些 预先 定义 的 加 
数 ,为 Java 程序 提供 了 一 个 独立 于 操作 系统 的 标准 接口 ,使 其 无 须 访问 源码 或 理解 内 部 
工作 机 制 的 细节 , 即 可 访问 一 组 例 程 。 

Java 在 程序 开发 中 应 用 十 分 广泛 。Servlet/JSP 用 来 实现 网 页 和 Java 语言 的 沟通 ; 
Hibernate、Spring、Struts 用 来 对 程序 进行 架构 设计 ,使 程序 架构 清晰 ,易于 分 析 和 维护 。 

Java 可 分 为 3 种 版 本 : 

(1) 企业 版 本 的 J2EEE。 为 绽 合 运用 各 大 企业 的 外 部 环境 以 及 市 场 服 务 中 心 而 研发 
的 一 种 计算 机 网 络 技术 平台 ,主要 用 于 应 用 程序 设计 ,由 EJB、Servlet 等 软件 构成 。 

(2) 标准 版 本 的 J2SE。 主 要 面 回 普通 用 户 市 场 ,其 应 用 领域 包括 图 形 界面 编程 、 工 
具 界 面 编程 Java 数据 库 编程 等 几 个 重要 部 分 。 

(3) 微型 版 本 的 J2ME。 此 版 本 主要 是 为 了 降低 Java 的 复杂 度 , 可 应 用 于 手机 ,平板 
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电脑 每 各 种 无 线 设备 。 

过 去 十 几 年 的 网 络 爆炸 性 增长 和 现在 人 们 对 计算 机 网 络 互联 的 依赖 ,将 网 络 安 全 需 
求 提 升 到 了 一 个 新 的 层次 。Java 作为 一 种 适用 于 网 络 的 硬 言 ,自然 离 不 开 网 络 ,网 络 在 
让 人 们 的 计算 机 互联 互通 的 同时 ,也 隐藏 看 很 多 隐患 。 近 些 年 ,由 Java 引发 的 网 络 安全 
攻击 占 所 有 安全 问题 的 大 部 分 。 

在 目前 的 Java 开发 中 ,程序 员 往 往 会 从 第 三 方 库 导 和 成 千 上 万 行 代 码 , 这 些 导入 的 
代码 通常 用 于 执行 通用 任务 ,如 数据 库 访 问 .、XML 处 理 . 日 志 记 录 等 。 然 而 由 于 导 和 人 的 
代码 大 多 是 开源 的 ,企业 无 法 保证 其 安全 性 。 如 有 果 引 用 的 代码 中 存在 安全 漏洞 ,程序 开发 
人 员 也 没有 对 其 进行 安全 检查 ,攻击 者 就 可 以 利用 导入 的 代码 中 的 缺陷 ,通过 SQL 注入 
等 方式 人 侵 到 系统 内 部 ,进行 服务 器 攻击 或 数据 访问 。 不 安全 的 开源 代码 导 人 造成 了 企 
业 对 这 些 安全 漏洞 一 无 所 知 ,而 攻击 者 却 对 它们 的 现状 了 如 指 营 ,因此 保证 Java 应 用 的 
安全 是 一 个 艰巨 的 任务 。 

典型 的 由 第 三 方 库 造 成 的 安全 漏洞 是 2014 年 初 的 “心脏 滴 血 ”事件 。 它 是 在 Open 
SSL 加 密 库 中 发 现 的 安全 狂 润 ,影响 了 互联 网 上 2/3 的 Web 服务 硕 。 虽 然 这 个 漏洞 和 
Java 无 关 , 但 依旧 值得 人 们 关注 。 

此 外 ,安全 信息 提供 商 Secunia 公司 最 近 在 安全 公告 中 发 布 了 一 个 新 的 高 危 等 级 的 
安全 源 洞 一 一 Sun 公司 在 各 种 浏 贤 各 和 操作 系统 中 运行 Java 程序 的 一 个 插件 ,这 个 Java 
插件 可 使 小 型 网 络 程序 在 用 户 计 算 机 上 运行 。 在 该 插件 中 发 现 的 安全 漏洞 允许 恶意 网 站 
绕 过 用 户 的 安全 措施 ,通过 浏览 硕 在 用 户 计算 机 上 目 动 运行 恶意 程序 ,造成 大 量 计 算 机 受 
害 。 由 于 该 插件 在 各 计算 机 上 十 分 常见 ,因此 由 它 产生 的 湄 洞 可 被 用 来 攻击 Windows 和 
Linux 等 各 种 第 用 操作 系统 ,并且 这 一 过 程 无 须 用 户 干预 ,其 严重 性 不 言 而 喻 。 

Java 漏洞 之 所 以 爆发 得 如 此 猛烈 ,与 人 们 不 凋 更 新 Java 版 本 有 关 。 虽 然 甲 骨 文 公司 
频 索 发 布 Java 更 新 以 便 控 制 漏洞 , 且 Java 本 吴 也 包括 目 动 升 级 功能 ,不 过 这 种 保护 措施 
现在 看 来 似乎 效果 不 大 。 由 于 Java 应 用 数量 巨大 ,因此 发 布 更 新 的 时 间 往 往 不 够 及 时 ， 
并 且 补 丁 和 常常 会 破坏 应 用 软件 的 功能 。Java 应 用 的 安全 防护 通常 基于 网 络 或 测试 ,但 随 
看 技术 的 发 展 ,这 两 种 方法 部 开始 变 得 不 够 可 菲 。 

基于 网 络 的 防御 措施 包括 Web 应 用 防火 场 和 运行 时 人 侵 防 御 系 统 , 可 以 抵御 外 部 威 
胁 。 为 了 避免 阻塞 合法 的 流量 ,这 些 系统 需要 进行 微调 以 降低 其 有 效 性 。 程 序 员 为 此 往 
往 需要 投入 大 量 精力 来 调整 ,使 之 只 允许 合法 流量 通行 ,避免 授权 的 流量 都 被 阻塞 ,使 真 
实用 户 也 被 拒 之 门 外 。 

应 用 测试 工具 可 以 分 析 软 件 是 否 存 在 漏洞 ,但 其 分 析 结 果 的 信息 量 往往 十 分 庞大 ,让 
人 难以 区 分 哪些 是 关键 问题 ,哪些 是 次 要 问题 和 误 报 。 此 外 ,如 果 漏 洞 侥幸 入 侵 成 功 , 这 
些 工 具 在 系统 运行 时 便 无 法 起 到 保护 作用 。 

Java 的 安全 开发 是 一 个 艰巨 的 任务 。 以 现在 的 安全 技术 来 说 ,针对 Java 安全 问题 的 
建议 仍 是 及 时 升级 Java, 使 用 IDS /IPS (Intrusion Detection Systemy/Intrusion 
Prevention System, 人 侵 检 测 系 统 / 人 和 人 侵 防 御 系 统 ) 和 及 时 更 新 签名 ,不 要 训 览 不 安全 的 网 
站 ,等 等 。 真 正 针 对 Java 的 安全 防御 措施 仍然 缺口 很 大 。 
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421 SQL 注入 漏洞 
注入 (injection) 类 漏洞 是 应 用 系统 中 最 稼 见 的 安全 漏洞 。SQL 是 结构 化 查询 语言 
(Structural Query Language) 的 简称 ,大 多 数 应 用 都 使 用 SQL 数据 库 来 存放 应 用 程序 的 
数据 。 由 于 SQL 请 法 允许 数据 库 命令 和 用 户 数 据 混杂 在 一 起 ,攻击 者 可 将 恶意 的 SQL 
命令 插 和 人 表单 的 输入 域 或 页 面 请 求 的 查询 字符 串 中 提交 给 服务 需 。 如 果 应 用 程序 没有 对 
用 户 的 输入 进行 检查 和 过 小 ,并 在 接收 输入 内 容 后 将 攻击 者 的 输入 作为 原始 SQL 查询 语 
人 名 的 一 部 分 , 则 恶意 输入 将 会 改变 程序 原始 的 SQL 查询 人 逻辑 ,从 而 执行 攻击 者 构造 的 任 
意 命令 。 例 如 ,很 多 影视 网 站 泄露 的 VIP 会 员 密 码 大 多 都 是 通过 表单 提交 查询 字符 获得 
的 。 攻 击 者 通过 SQL 注入 攻击 可 以 获取 网 站 数据 库 的 访问 权限 ,从 而 获取 网 站 数据 库 中 
1 SQL 注入 攻击 方法 
SQL 注 和 人 攻击 方法 可 分 为 回 显 注入 和 型 注 。 基 于 错误 回 显 的 SQL 注 人 是 指 利 用 
SQL 语句 的 矛盾 性 使 得 数据 被 回 显 到 页 面 中 的 注入 , 即 执行 SQL 查询 , 右 其 报错 信息 能 
器 显 到 页 面 中 ,那么 可 耳 接 进行 有 回 显 的 SQL 注入 。 在 回 显 注入 中 ,攻击 者 利用 查询 语 
名 返回 的 报错 信息 可 以 判断 数据 库 中 的 字段 数 \、 显 示 位 ,查看 表 名 、 列 名 ,还 可 以 利用 函数 
获得 其 他 更 多 的 信息 。 百 注 是 指 在 SQL 注入 过 程 中 ,由 于 服务 帮 并 不 将 攻击 者 想 要 知 思 
的 报错 信息 回 显 到 前 如 页 面 ,攻击 者 需要 在 不 知道 数据 库 返 回 值 的 情况 下 ,利用 一 些 方 法 
对 数据 中 的 内 容 进 行 猜 测 或 者 尝试 ,以 实施 SQL 注入 。 下 注 一 般 可 分 为 两 类 。 
1) 布尔 百 注 
基于 布尔 型 SQL 育 注 简称 布尔 让 注 , 即 在 SQL 注 人 过程 中 ,Web 页 面 仅 返 回 True 
和 False, 这 时 无 法 通过 根据 页 面 返回 的 信息 得 到 所 需 的 数据 库 中 的 相关 信息 ,但 是 可 以 
通过 构造 逻辑 判断 (比较 大 小 ) 来 获取 想 要 的 信息 。 
2) 时 间 至 注 
注入 了 SQL 代码 之 后 ,存在 以 下 两 种 情况 : 
(1) 如 条 注入 人 的 SQL 代码 不 影 啊 后 台数 据 库 的 正常 功能 ,那么 Web 应 用 的 页 面 显 
示 正 确 (原始 页 面 )。 
(2) 如 果 注 入 的 SQL 代码 影响 后 台数 据 库 的 正常 功能 , 即 产 生 了 SQL 注入 ,然而 由 
于 Web 应 用 程 订 采取 了 重 定 问 或 屏 菩 措施 ,此 时 Web 应 用 的 页 面 仍然 会 显示 正 笛 。 
这 时 ,无 法 返回 页 面 信息 判断 注入 的 SQL 代码 是 否 已 被 后 台数 据 库 执行 , 即 无 法 判 
斯 Web 应 用 程序 是 否 存 在 SQL 注入 。 
因为 基于 布尔 型 SQL 育 注 的 前 提 是 Web 程序 返回 的 页 面 存 在 True 和 False 两 种 
不 同 的 页 和 面 信息 ,所 以 在 这 种 情况 下 ,基于 布尔 型 SQL 育 注 很 难 发 挥 作 用 。 对 这 种 情况 ， 
采用 基于 Web 应 用 啊 应 时 间 上 的 差异 来 判断 是 否 存 在 SQL 注入 , 即 基于 时 间 型 SQL 下 
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注 ( 人 简称 时 间 育 注 ) ,在 加 入 特定 的 时 间 函 数 后 ,通过 查看 Web 页 面 返回 的 时 间 差 来 判断 
注 人 的 语 人 可 是 合 口 7 正确 。 


2 SQL 注入 攻击 的 流程 
SQL 注入 攻击 分 为 一 阶 SQL 注入 攻击 和 二 阶 SQL 注入 攻击 。 一 阶 SQL 注入 攻击 
是 指 注入 攻击 发 生 在 一 次 HTTP 数据 请 求 和 啊 应 中 ,其 注入 汤 洞 利用 的 流程 如 下 : 
(1) 攻击 者 通过 构造 数据 的 形式 ,在 浏览 硕 或 者 其 他 软件 中 提交 HTTP 数据 报 文 请 
求 到 服务 需 端 进行 处 理 , 提 交 的 数据 报 文 请 求 中 可 能 包含 了 攻击 者 构造 的 亚 意 SQL 语句 
或 者 命令 信息 。 
(2) 服务 器 端 应 用 程序 将 对 攻击 者 提交 的 HTTP 数据 报 文 请 求 进行 处 理 , 则 攻击 者 
构造 的 SQL 注入 语句 或 命令 将 在 服务 磊 病 环境 中 执行 。 
(3) 服务 帮 端 会 返回 执行 的 结果 数据 信息 ,黑客 可 以 通过 执行 的 结果 数据 信息 判断 
注入 源 洞 利用 是 否 成 功 。 
二 阶 SQL 注入 攻击 与 一 阶 SQL 注入 攻击 不 同 。 相 对 于 一 阶 SQL 注入 攻击 流程 而 
,二 阶 SQL 注入 攻击 的 流程 一 般 如 下 : 
(1) 攻击 者 通过 构造 数据 的 形式 ,在 浏览 副 或 者 其 他 软件 中 提交 HTTP 数据 报 文 请 
求 到 服务 硕 问 进行 处 理 , 提 交 的 数据 报 文 请 求 中 包含 了 攻击 者 构造 的 恶意 SQL 语句 或 者 


命令 ， 


(2) 服务 策 闯 应 用 程序 会 将 攻击 者 提交 的 数据 信息 存储 起 来 , 通 稼 是 保存 在 数据 库 
中 ,保存 这 些 数据 信息 的 主要 作用 是 为 应 用 程序 执行 其 他 功能 提供 原始 输入 数据 ,并 对 客 
户 闪 请 求 做 出 啊 应 。 

(3) 攻击 者 第 二 次 回 服务 需 端 发 送 一 个 与 第 一 次 不 同 的 请 求 数据 信息 。 

(4) 服务 端 接收 到 攻击 者 提交 的 第 二 个 请 求 信 息 后 ,为 了 处 理 该 请 求 ,服务 器 端 会 查 
询 数据 库 中 已 经 存储 的 数据 信息 并 进行 处 理 , 从 而 导致 攻击 者 在 第 一 次 请 求 中 亚 意 构造 
的 SQL 语句 或 者 命令 在 服务 端 环境 中 执行 。 

(5) 服务 各 端 返回 执行 的 处 理 结 果 数 据 信息 ,黑客 可 以 通过 返回 的 结果 数据 信息 判 
断 二 次 注入 洗 洞 利用 是 否 成 功 。 

一 阶 SQL 注入 攻击 和 二 阶 SQL 注入 攻击 危害 是 一 样 的 ,攻击 者 获得 数据 库 的 访 
问 权 限 ,从 而 千 取 相关 数据 ,但 是 一 阶 SQL 注入 攻击 可 以 通过 相关 工具 扫描 出 来 ,而 二 
阶 SQL 注入 攻击 是 一 种 更 加 细微 的 漏洞 , 通 稼 很 难 被 检测 。 从 二 阶 SQL 注入 漏洞 利 
用 的 流程 可 以 发 现 , 二 阶 SQL 注入 攻击 对 漏洞 的 利用 相对 于 一 阶 SQL 注入 攻击 来 说 
不 仪 仪 是 多 发 送 一 次 请 求 这 么 人 简单, 它 需 要 攻击 者 对 应 用 程序 的 功能 有 完整 的 理解 。 
也 就 是 说 ,要 想 实现 二 阶 SQL 注入 源 洞 的 利用 ,要 求 攻击 者 对 不 同 功 能 之 间 的 关系 有 
一 定 的 理解 。 通 和 常 二 阶 SQL 注入 漏洞 的 测试 主要 依据 测试 人 员 对 系统 功能 的 理解 和 
对 和 背 出 错位 置 的 经 验 判 断 。 但 是 随 着 应 用 功能 的 增加 ,经 验 性 的 测试 并 不 能 保证 测试 
结果 。 

3 SQL 注入 攻击 的 防 沱 措施 

SQL 注入 攻击 能 使 攻击 者 绕 过 认证 机 制 ,控制 远程 服务 各 上 的 数据 库 , 从 数据 库 中 

49 


ll 


代码 安全 


医 取 敏感 信息 ,在 数据 库 中 添加 数据 库 操作 用 户 , 从 数据 库 中 导出 文件 ,其 至 获取 数据 库 
系统 的 管理 员 权 限 ,危害 范围 广 且 性 质 严 重 , 因 而 防范 SQL 注入 势 在 必 行 。 几 种 常见 的 
SQL 注入 防御 措施 如 下 : 

1) 参数 化 语句 

参数 化 语句 是 一 种 安全 的 动态 查询 创建 方式 ,可 以 避免 一 般 的 SQL 注 和 漏洞。 在 一 
般 情况 下 ,可 以 用 来 代 蔡 动态 查 词 。 由 于 现在 的 数据 库 具 有 查询 优化 能 力 , 因 此 这 种 方法 
具有 很 高 的 查询 速度 和 执行 效率 。Java 禁止 通过 字符 串 连 接 的 方法 直接 使 用 用 户 输入 
构造 可 执行 SQL 语句 ,但 允许 编程 人 员 通 过 参数 化 语句 ,使 用 占 位 符 或 者 绑 定 的 变量 来 
创建 SQL 查询 语句 ,以 替代 直接 使 用 用 户 的 输入 来 创建 SQL 查询 语句 。 

对 于 Java 语言 ,全 面 使 用 参数 化 执行 语句 即 通过 使 用 预 编译 语句 代替 直接 的 语句 执 
行 ,类 型 化 SQL 参数 通过 检查 输入 的 类 型 ,确保 输入 值 在 数据 库 中 当 作 字符 串 、 数 字 .日 
期 或 布尔 值 等 而 不 是 可 执行 代码 进行 处 理 , 从 而 防止 SQL 注入 攻击 。 此 外 ,对 于 Java 数 
据 库 连接 JDBC 而 言 ,SQL 注入 攻击 只 对 语句 有 歼 , 对 预 编 详 语 句 是 无 效 的 ,这 是 因为 预 
编译 语句 不 允许 在 不 同 的 插入 时 间 改 变 查 询 的 逻辑 结构 。 例 如 ,验证 用 户 是 否 存 在 的 
SQL 语句 为 


用 户 名 'and pswd= 密码 
如 来 在 用 尸 名 字段 中 输入 
‘or 1=1 
或 在 密码 字段 中 输入 
‘or J=1 


将 绕 过 验证 ,但 这 种 手段 只 对 语句 有 效 ,对 预 编 译 语句 无 效 。 

使 用 预 编 诺 语 名 防范 SQL 注入 攻击 的 优点 是 : 多 次 运行 速度 快 ;防止 数据 库 缓冲 区 
溢出 ;代码 的 可 读 性 和 可 维护 性 好 。 这 些 优 点 使 这 种 方法 成 为 访问 数据 库 的 语句 对 象 的 
首选 。 不 过 其 缺点 也 很 明显 ,由 于 灵活 性 不 够 好 ,在 有 些 场合 必须 使 用 语句 。 

2) 输入 验证 

输入 验证 就 是 验证 用 户 的 输入 是 否 和 从 合 系统 定 义 的 标准 , 它 可 能 人 简单 到 和 下 接 验 证 一 
个 参数 的 类 型 ,也 可 能 复杂 到 使 用 正则 表达 式 或 者 业务 逻辑 去 验证 用 户 输入 。 如 果 构 造 
SQL 指令 时 需要 动态 加 入 约束 条 件 ,可 以 通过 创建 一 份 合法 字符 串 列表 ,使 其 对 应 于 可 
能 要 加 入 SQL 指令 中 的 不 同 元 素来 避免 SQL 注入 攻击 。 在 Java 中 ,主要 对 输入 参数 的 
长 度 .范围 和 类 型 进行 校 验 。 

(1) 校 验 输 入 数据 的 长 度 。 如 果 输 入 数据 是 字符 串 ,必须 校 验 字 符 串 的 长 度 是 否 符 
合 要 求 ,进行 长 度 校 验 会 加 大 攻击 者 实施 攻击 的 难度 。 

(2) 校 验 输 入 数据 的 范围 。 如 打 输 入 数据 是 数值 ,必须 校 验 数 据 的 范围 是 否 正确 , 例 
如 年 龄 应 该 为 0 一 150 的 正 整 数 ， 

(3) 校 验 输入 数据 的 类 型 。 如 果 仅 允许 输入 的 数据 是 数字 ,那么 就 不 应 该 接收 字符 
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3) 纵 深 防御 

玉 用 纵深 防御 措施 的 好 处 是 : 一 旦 前 线 防御 失效 ,可 以 提供 额外 的 保护 。 在 攻击 后 
站 数据 库 的 上 下 文 过 程 中 ,有 3 个 层次 的 纵深 防御 措施 需要 实施 。 

(1) 应 用 程序 在 访问 数据 库 时 应 使 用 尽 可 能 低级 别 的 特权 。 

通常 应 用 程序 并 不 需要 数据 库 管 理 员 (Database Administrator, DBA ) 级 别 的 权限 ， 
只 需要 读 取 和 写 人 数据 。 在 不 同情 况 下 ,应 用 程序 会 使 用 不 同 的 数据 库 账户 进行 不 同 的 
操作 。 例 如 ,如果 90% 的 数据 库 查 询 只 需要 读 权限 , 则 这 些 操作 可 以 用 一 个 没有 写 权 限 
的 账户 来 执行 ;如 果 某 个 特定 的 查询 只 需要 谈 取 一 个 子 集 的 数据 (例如 命令 表 , 而 不 是 用 
户 账户 表 ) , 则 使 用 一 个 具有 相应 访问 权限 的 账户 即 可 。 如 果 在 整个 应 用 程序 中 强制 实行 
这 种 做 法 , 则 SQL 注入 漏洞 的 影响 将 大 大 减 小 。 

(2) 数据 库 中 要 去 掉 所 有 的 无 用 的 功能 。 

将 数据 库 中 所 有 不 必要 的 功能 删除 或 禁用 。 尽 省 在 某 些 情况 下 ,熟练 的 攻击 者 可 以 
通过 其 他 手段 生成 一 些 新 功能 ,但 是 数据 库 的 小 范围 冻结 仍然 可 以 成 为 攻击 者 的 障碍 。 

(3) 数据 库 补 丁 的 更 新 要 进行 评估 且 及 时 更 新 。 

数据 库 本 号 的 汤 洞 可 能 成 为 攻击 者 利用 的 对 象 。 补 丁 要 及 时 更 新 ,但 是 对 补丁 要 进 
行 评估 ,因为 一 些 不 必要 的 补丁 或 插件 也 许 更 方便 攻击 者 实施 攻击 。 

4) 输出 编码 

除了 对 用 户 输入 进行 验证 外 ,还 需要 对 程序 各 个 模块 之 间或 者 各 个 部 分 之 间 传 递 的 
数据 进行 编码 。 在 可 能 存在 SQL 注入 漏洞 的 环境 中 ,为 了 保证 传递 给 数据 库 的 数据 不 会 
被 错误 地 处 理 , 则 需要 对 输出 进行 编码 。 

有 一 种 情况 经 常会 被 忽略 ,就 是 当 编 码 的 信息 来 目 数 据 库 中 的 数据 ,尤其 是 使 用 过 的 
数据 时 , 通 稼 不 会 对 这 些 数据 进行 验证 或 者 过 滤 处 理 。 在 这 种 情况 下 ,虽然 不 会 且 接 导致 
SQL 注入 漏洞 ,但 还 是 应 当 考 虑 采用 类 侯 的 编码 方式 进行 处 理 , 以 防止 产生 其 他 安全 泪 
洞 ,如 XSS 漏洞 等 。 


422 XSS 漏洞 


跨 站 脚本 攻击 (Cross Site Scripting,XSS) 是 一 种 针对 客户 端 浏览 器 的 注入 攻击 。 与 
SQL 注入 攻击 不 同 的 是 ,XSS 攻击 者 将 恶意 脚本 注入 Web 应 用 程序 中 并 不 是 为 了 攻击 
应 用 程序 本 对 ,而 是 将 Web 应 用 程序 作为 攻击 其 他 网 站 的 中 转 站 。 当 其 他 用 户 访 问 被 注 
和 人 恶 意 脚本 的 Web 应 用 程序 时 , 悉 意 脚本 束 会 被 下 载 到 该 用 户 的 浏览 各 中 并 运行 。 被 注 
人 的 恶意 代码 能 够 在 文 持 HTML、JavaScript、Flash、ActiveX、VBScript 等 功能 的 客户 病 
浏览 硕 上 执行 ,造成 主机 上 的 敏感 信息 泄露 .Cookie 被 禄 取 、 配 置 被 更 改 、 重 定 回 到 其 他 

XSS 漏洞 产 生 的 主要 原因 有 两 个 : 一 是 由 于 HTML 协议 无 法 区 分 数据 和 代码 , 即 无 
法 明确 指出 用 户 输入 的 非法 数据 , 则 攻击 者 可 以 将 恶意 代码 注入 HTML 代码 中 ;二 是 
Web 应 用 程序 将 用 户 数据 发 送 回 浏览 硕 时 没有 做 适当 的 转 义 处 理 , 使 得 包含 恶意 脚本 的 
数据 税政 人 Web 网 页 中 ,在 客户 病 训 览 囊 中 执行 ,从 而 引发 XSS 漏洞 。 
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1 XSS 漏洞 的 分 类 
XSS 漏洞 根据 注 和 人 位置 和 触发 流程 的 不 同 分 为 3 类, 分别 是 反射 型 XSS 漏洞 .存储 


型 XSS 漏洞 和 基于 DOM 型 XSS 漏洞 。 

1) 反射 型 XSS 漏洞 

反射 型 XSS 漏洞 也 称 为 永久 型 XSS 漏洞 ,是 目前 最 流行 的 一 种 XSS 漏洞 。 典 型 的 
反射 型 XSS 漏洞 攻击 是 攻击 者 将 攻击 代码 (例如 URL 中 的 数据 .HTTP 协议 头 的 数据 
和 HTML 表单 中 提交 的 数据 ) 存 储 在 客户 关上 ,而 不 是 存储 在 服务 大 上 。 应 用 程序 通过 
Web 请 求 获 取 不 可 信赖 的 数据 ,在 未 检验 数据 是 否 存在 恶意 代码 的 情况 下 , 便 将 其 传送 
给 用 户 ,在 用 户 浏 览 硕 上 执行 攻击 代码 ,达到 攻击 者 禄 取 用 户 的 键盘 记录 、 客 取 用 户 的 
Cookie、 稻 取 剪贴 板 内 容 、 贷 改 网 页 内 容 等 目的 。 

反射 型 XSS 泌 洞 攻击 的 过 程 如 图 4-1 所 示 。 





攻击 音 用 户 


中 区 


网 站 A 
4-1 反射 型 XSS 漏洞 攻击 过 程 








(1) 用 户 有 访问 网 站 A 的 权限 ,登录 成 功 后 将 得 到 一 个 会 话 Cookie。 

(2) 攻击 者 发 现 网 站 A 存在 反射 型 XSS 漏洞 ,于 是 构造 了 含有 攻击 脚本 的 恶意 
URL ,并 诱 使 用 户 点 击 这 个 URL 来 访问 网 站 A。 

(3) 用 户 点 击 了 攻击 者 提供 的 URL ,登录 到 网 站 A 上 。 

(4) 网 站 A 根据 URL 中 的 参数 将 恶意 JavaScript 代码 插入 网 页 中 ,返回 给 用 户 。 

(5) 恶意 代码 在 用 户 的 浏览 融 上 执行 ,将 用 户 的 会 话 Cookie 发 送 给 攻击 者 控制 的 网 
站 B。 

(6) 攻击 者 从 网 站 B 得 到 用 户 的 会 话 Cookie。 

(7) 攻击 者 支持 了 用 户 会 话 , 实 施 攻击 。 

反射 型 XSS 漏洞 攻击 和 钓鱼 攻击 非常 相似 ,都 是 诱 使 被 攻击 者 访问 某 个 恶意 的 
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URL ,从 而 获取 用 户 敏 感 信 息 。 但 钓鱼 攻击 是 用 户 点 击 URL 后 进入 一 个 伪造 的 网 页 ,该 
网 员 和 用 户 想 要 访问 的 Web 应 用 程序 不 在 同一 个 域 中 , 则 根据 同 源 策 略 , 该 钓鱼 网 员 无 
法 和 耳 接 获 得 用 户 在 男 一 个 域 的 Web 应 用 程序 中 的 Cookie 等 敏感 信息 ,所 以 钓鱼 网 页 还 
需要 诱导 用 户 输入 用 户 名 和 口令 等 信息 ,钓鱼 攻击 才能 成 功 。 而 在 反射 型 XSS 漏洞 攻击 
中 ,用 户 访问 的 恶意 URL 位 于 用 户 原本 想 要 访问 的 Web 应 用 程序 所 在 的 域 中 ,并 不 违反 
同 源 策略 , 即 恶 意 的 URL 可 以 自动 执行 JavaScript 代码 来 窃取 用 户 的 敏感 信息 。 这 些 操 
作 不 需要 用 户 做 进一步 的 配合 , 吏 可 以 目 动 完成 , 即 当 用 户 访问 了 含有 反射 型 XSS 漏洞 
的 URL 时 ,XSS 漏洞 攻击 就 已 经 成 功 了 。 

2) 存储 型 XSS 漏洞 

存储 型 XSS 漏洞 是 指 攻 击 的 恶意 脚本 被 存储 在 服务 硕 关 的 数据 库 或 者 文件 中 ,在 访 
问 服务 时 ,应 用 程序 从 数据 库 或 其 他 后 端 数据 存储 中 获取 了 不 可 信赖 的 数据 ,在 未 检验 数 
据 是 否 存 在 恶意 代码 的 情况 下 , 便 将 其 传送 给 Web 用 户 , 这 样 就 会 导致 存储 型 XSS 攻 
击 。 其 实现 原理 如 下 : XSS 亚 意 脚本 提交 至 服务 器 端 一 服务 器 端 将 恶意 脚本 存 人 数据 
库 一 当 服 务 再 次 被 请 求 时 ,服务 硕 疾 回 显 被 植 人 恶意 脚本 的 数据 给 客户 闪 一 客户 痪 执行 

存储 型 XSS 漏洞 攻击 的 过 程 如 图 4-2 所 示 。 


A 
ytE A | 
= 


(2) 
(4) 
(1) | 





(8) 
攻击 者 
| 名 la 
(0) 
-一 
网 站 B 用 局 


4-2 存储 型 XSS 漏洞 攻击 过 程 


(1) 攻击 者 发 现在 网 站 A 上 存在 存储 型 XSS 漏洞 ,于 是 发 送 一 个 恶意 消息 到 网 站 
A 上 。 

(2) 网 站 A 存储 此 恶意 消 县 。 

(3) 用 户 发 现 该 消息 ,点 击 链接 进行 谈 取 。 

(4) 网 站 A 将 存储 的 恶意 消息 取出 。 

(5) 用 户 读 取 了 该 恶意 消息 , 亚 意 代码 在 用 户 的 浏览 器 上 执行 。 

(6) 恶意 代码 将 用 户 的 Cookie 发 送 到 网 站 B 上 。 
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(7) 攻击 者 从 网 站 B 得 到 用 户 的 Cookie。 

(8) 攻击 者 劫持 了 用 户 的 会 话 , 访 问 网 站 A， 

3) DOM 型 XSS 漏洞 

DOM 型 XSS 漏洞 又 称 作 本 地 XSS 漏洞 ,此 类 型 的 漏洞 存在 于 页 面 中 的 客户 病 脚 本 
中 。 当 页 面 中 的 JavaScript 代码 访问 了 URL 请 求 参 数 ,并 且 未 经 编码 便 直 接 使 用 相应 的 
参数 信息 在 页 面 中 输出 某 些 HTML 时 ,就 有 可 能 出 现 此 类 型 的 XSS 漏洞 。 

DOM 型 XSS 省 洞 攻 击 过 程 如 图 4-3 所 示 。 


Web 应 用 服务 胡 


NO) 





攻击 者 
4-3 DOM 型 XSS 漏洞 攻击 过 程 


(1) 用 户 登 录 Web 应 用 。 

(2) 攻击 者 发 给 用 户 一 个 URL。 

(3) 用 户 点 击 攻 击 者 发 来 的 URL。 

(4) 服务 天 返回 包含 JavaScript 脚本 的 页 面 。 

(5) 用 户 训 览 需 把 页 面 的 HTML 文本 通过 DOM 解析 ,浏览 页 面 内 容 。 

(6) 恶意 脚本 在 DOM 解析 时 开始 执行 ,传送 用 户 敏 感 信息 给 攻击 者 。 

(7) 攻击 者 对 Web 应 用 发 动 攻击 。 

对 于 DOM 型 XSS 漏洞 ,由 于 所 有 的 URL 处 理 方式 对 用 户 都 是 可 见 的 ,攻击 者 可 以 
轻易 发 现 网 页 中 的 XSS 漏洞 并 实施 攻击 。 而 对 于 前 面 两 类 XSS 漏洞 ,用户 对 Web 服务 
需 所 处 理 的 数据 是 不 可 知 的 ,因此 攻击 者 发 现 XSS 漏洞 要 困难 一 些 。 


2 XSS 攻击 的 防范 措施 

由 于 XSS 攻击 可 以 使 用 多 种 客户 端 语言 来 实现 ,也 可 以 跨越 多 种 操作 系统 平台 , 利 
用 方式 多 样 化 ,并 具有 较 强 的 隐蔽 性 ,因此 近年 来 其 发 生 频 率 大 幅 上 升 , 危 害 性 也 越 来 越 
大 。 攻 击 者 可 以 利用 XSS 狂 洞 罚 取 用 户 敏 感 信 息 , 重 与 Web 网 页 , 祝 取 用 户 会 话 , 将 用 
户 重 定 回 到 钓鱼 网 站 ,甚至 绪 合 其 他 手段 进一步 控制 用 户 的 系统 。 因 此 ,了 解 一 些 防范 
XSS 攻击 的 技术 越 来 越 重 要 。 下 面 详细 摘 述 了 XSS 攻击 的 几 种 凋 见 防范 方式 。 

XSS 漏洞 采用 两 种 方法 来 防范 : 一 种 方法 是 增强 Web 应 用 程序 本 号 的 安全 性 ;为 一 
种 方法 是 增强 Web 应 用 程序 运行 平台 的 安全 性 ,包括 部 署 Web 应 用 级 防火 墙 \ 设 置 数 据 
库 安全 措施 以 及 其 他 的 防护 措施 等 。 下 面 主 要 介绍 增强 Web 应 用 程序 本 对 的 安全 性 的 
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增强 Web 应 用 程序 本 重 的 安全 性 就 是 在 设计 应 用 程序 时 元 分 考虑 如 何 避 人 免 XSS 源 
洞 的 问题 。 通 常 末 用 HttpOnly、 输 入 验证 、 输 出 编码 .规范化 等 方法 来 增强 Web 应 用 程 
序 本 映 的 安全 人 性。 

1) HttpOnly 

HttpOnly 最 早 是 由 微软 公司 提出 ,并 在 IE 6 中 实现 的 ,至今 已 成 为 一 种 标准 。 
HttpOnly 防范 的 是 XSS 攻击 后 的 Cookie 支持 攻击 。Cookie 攻击 的 过 程 如 下 : 

(1) 浏览 部 四 服务 华发 起 请 求 , 这 时 没有 产生 Cookie。 

(2) 服务 大 返回 时 发 送 Set-Cookie 头 , 回 客 尸 闹 浏 览 和 大 写 和 人 Cookie。 

(3) 在 该 Cookie 到 期 前 ,浏览 需 访 问 该 域 下 的 所 有 页 面 时 ,都 将 发 送 该 Cookie。 

HttpOnly 是 在 第 二 步 发 送 Set-Cookie 时 标记 的 。 通 过 在 浏览 如 设置 中 禁止 页 面 的 
JavaScript 代码 访问 市 有 HttpOnly 属性 的 Cookie 来 防 XSS 攻击 。 

2) 输入 验证 

在 进行 输入 验证 时 ,可 以 采用 日 名 单 验 证 和 黑 名 单 验证 两 种 方式 。 对 于 日 名 单 验证 ， 
根据 日 名 单 对 URL 查询 关键 字 、HTTP 头 `. POST 数据 等 进行 检查 ,只 接收 指定 长 度 范 
围 内 、 及 用 适当 格式 和 预期 字符 的 输入 ,对 其 他 内 容 的 输入 一 律 过 滤 反 。 对 于 黑 名 单 验 
证 ,根据 黑 名 单 对 包含 XSS 代码 特征 的 内 容 进 行 过 沽 ,如 所、>> script javascript 等 内 
容 。 日 名 单 验 证 和 黑 名 单 验证 都 采用 正则 表达 式 进行 检查 和 验证 。 然 而 输入 验证 很 难过 
滤 掉 脚本 中 所 有 的 非法 字符 ,因为 所 有 的 字符 在 HTML 字符 集 里 都 是 合法 的 ,因此 输入 
验证 方法 有 一 定 的 局 限 性 。 

3) 输出 编码 

对 所 有 输出 字符 进行 HTML 编码, 把 包括 HTML 标记 在 内 的 危险 字符 转换 成 无 害 
的 HTML 编码 表示 ,将 用 户 输入 的 HTML 脚本 当成 普通 文字 来 处 理 , 而 不 会 成 为 目标 
页 面 HTML 部 分 执行 的 代码 ,例如 ,字符 串 “ 过 script 记 ”可 以 编码 为 “Slt; script&-gt;” 
等 ,这 样 浏 览 硕 便 对 它 进 行 转 义 和 逐 字 解 机 。 然 而 输出 编码 方法 有 可 能 影响 Web 应 用 的 
交互 性 ,因为 网 页 不 接 党 由 用 户 和 输入 的 任何 HTML 内 容 , 如 博客 和 社交 论坛 里 由 用 户 提 
交 的 HTMEL。 

4) 规范 化 

通过 规范 化 ,将 输入 变 为 规范 格式 或 者 简单 格式 ,使 之 只 包 作 最 小 的 、 安 全 的 Tag, 即 
不 包含 JavaScript; 去 挥 对 远程 内 容 的 引用 ,尤其 是 样式 表 和 JavaScript; 使 用 Cookie 时 应 
设置 HTTP Only 属性 ;等 等 。 

423 重 定向 漏洞 

随 看 网 络 技 术 的 发 展 ,应 用 程序 越 来 越 多 地 需要 和 第 三 方 应 用 进行 交互 ,以 及 在 日 号 
应 用 内 部 根据 不 同 的 逻辑 将 用 户 引 守 到 不 同 的 页 面 。 例 如 ,一 个 典型 的 登录 接口 就 经 沼 
需要 在 认证 成 功 之 后 将 用 户 引 寻 到 登录 之 前 的 页 面 。 在 整个 过 程 中 ,如 末 验 证 措施 不 够 
完善 ,就 可 能 导致 一 些 安全 问题 ,在 特定 条 件 下 可 能 引起 严重 的 安全 源 洞 , 重 定 问 就 是 其 
中 一 种 。 
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在 Java 中 ,实现 Web 页 面 跳 技 有 两 种 方式 : 一 种 是 转发 ,为 一 种 是 重 定 癌 。 转 发 是 
服务 器 请 求 资源 并 直接 访问 目标 地 址 的 URL , 读 取 URL 的 响应 内 容 后 ,再 把 读 取 的 内 容 
发 送 给 浏览 各 。 浏 宽大 并 不 知 让 服 务 强 发 送 的 内 容 是 从 哪里 获取 的 ,因为 这 个 跳 转 过 程 
是 在 服务 大 中 而 不 是 客户 病 实 现 的 ,所 以 客户 只 并 不 知道 这 个 跳 苇 动作 , 即 客户 中 的 地 址 
栏 中 还 是 原来 的 地 址 。 重 定 回 则 是 服务 奉 中 根据 逻辑 ,发 送 一 个 状态 人 码 给 客户 闯 , 通 知客 
户 中 浏 览 硕 请 求 新 的 地 址 进行 访问 ,所 以 此 时 客户 闯 地 址 芒 将 显示 新 的 地 址 。 例 如 , 当 用 
户 访 问 http://www. sun. com 时 ,发 现 浏 贤 各 地 址 住 中 的 URL 会 变 成 http://www. 
oracle. com/us/sun/index. htm, 这 了 就 是 重 定 问 。 一 般 来 说 ,转发 比重 定 同 快 , 重 定 问 是 在 
客户 内 完成 的 ,转发 是 在 服务 渍 闯 完 成 的 。 


1 重 定 回 的 原理 

在 Web 应 用 中 , 重 定 癌 是 非常 普 遇 的 ,例如 一 些 知 名 公司 会 买 下 与 目 己 的 网 站 域名 
相似 的 域名 ,以 便 用 户 在 访问 时 即使 不 小 心 拼 错 域名 也 可 以 成 功 访问 正确 的 网 站 。 然 而 ， 
如 果 应 用 程序 允许 将 未 验证 的 输入 数据 传递 给 HTTP 重 定 回 函 数 ,攻击 者 便 可 通过 修改 
输入 数据 发 动 攻 击 , 引 寻 用 户 访 问 他 们 所 构 知 的 恶意 网 站 。 根 据 OWASP, 开 放 重 定 问 源 
洞 出 现在 应 用 程序 接收 输入 参数 并 将 用 户 重 定向 到 于 有 该 参数 值 的 新 地 址 ,并 且 没 有 对 
输入 值 进行 任何 校 验 的 时 候 。 攻 击 者 徊 利用 此 尘 洞 进行 钓鱼 攻击 ,滥用 用 户 对 于 原 网 站 
的 信任 ,并 将 恶意 网 站 伪装 成 合法 网 站 的 样子 作为 重 定 困 目的 地 ,从 而 让 用 户 在 无 意 中 浏 
哆 恶 意 网 站 。 

重 定 问 攻 击 造 成 的 危害 很 大 ,攻击 者 利用 重 定 问 源 洞 欺骗 安全 意识 低 的 用 户 ,例如 引 
导 用 户 进入 中奖? 页 面 , 锣 取 用 户 吴 份 认 证 攒 据 , 收 集 用 户 的 个 人 敏感 信息 ,给 用 户 造 成 
经 济 损失 。 为 外 ,对 于 一 些 包 含 在 线 业 务 的 企业 ,如 淘宝 等 , 重 定 癌 攻击 也 会 严重 影响 企 
业 声 誉 ,影响 业务 正常 运营 。 

在 Java 中 ,开发 人 员 通 第 通过 HTTP Servlet Response 对 象 的 sendRedirect() 图 数 
将 用 户 日 动 重 定 癌 到 为 一 个 页 和 面 ,该 方法 相当 于 浏览 带 重 新 发 送 一 个 访问 请 求 : 

response.SsendRedirect (path) ; 
其 中 ,URL 需要 在 代码 中 被 明确 声明 ,例如 ， 

Tesponse.senqdReqjirect ("http://ww.mysite.com"); 
此 条 指令 明确 声明 将 页 面 重 定 问 到 http://www. mysite. com, 从 而 使 攻击 者 无 法 对 地 址 
进行 更 改 , 防 止 重 定 癌 攻击 。 

如 果 不 使 用 输入 验证 或 其 他 方法 来 验证 URL 的 真实 可 靠 性 ,攻击 者 就 可 以 将 用 户 
重 定 癌 到 悬 意 网 站 ,对 用 户 进行 钓鱼 诈骗 。 攻 击 者 还 可 以 创建 超 链 接 , 将 用 户 重 定 癌 到 未 
经 过 验证 的 与 原始 地 址 十 分 相似 的 恶意 网 站 ,例如 : 

http://exanple.com/exanple.php?url= http://malicious.exanple.com 
用 户 看 到 指 问 原始 受信 任 站 点 (example. com) 的 链接 后 ,将 很 难 意识 到 已 经 发 生 的 重 
定 问 。 
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此 外 , 当 应 用 程序 允许 利用 用 户 输入 在 网 站 的 不 同 部 分 之 间 转 发 请 求 时 ,应 用 程序 必 
须 检 查 用 户 是 否 有 权 访 问 URL 以 执行 它 提供 的 功能 。 如 有 果 应 用 程序 未 能 执行 这 些 检 
得 , 则 攻击 者 恶意 构造 的 URL 可 能 会 通过 应 用 程序 的 访问 控制 检查 ,从 而 将 攻击 者 转发 
到 通 第 不 允许 的 管理 功能 。 


2 重 定 问 的 防 泥 措施 

重 定 朵 与 器 站 请 求 伪造 攻击 的 防御 方式 类 似 , 开 发 人 员 需 要 对 传人 的 URL 进行 有 
效 性 认证 ,以 确保 该 URL 来 自 可 靠 的 地 址 。 通 常人 们 通过 创建 可 信 URL 列表 (主机 列 
表 或 正则 表达 式 ) 来 检查 输入 ,然而 这 同样 存在 看 被 绕 过 的 安全 风险 。 例 如 ,一 些 应 用 多 
许 引 入 可 信和 网 站 (如 youku. com) 的 视频 ,其 限制 方式 往往 是 检查 URL 是 否 是 由 youku. 
com 来 实现 的 ,如 果 在 youku. com 内 存在 一 个 URL 跳 转 漏洞 ,将 导致 最 终 引 入 的 资源 属 
于 不 可 信 的 第 三 方 资 源 或 者 恶意 网 站 ,从 而 产生 安全 问题 。 下 面 描述 两 种 常见 的 重 定 问 
防 汇 措施 。 

1) referer 限制 

referer 限制 能 够 检查 访问 请 求 是 否 来 自 合 法 的 服务 磺 。 如 果 能 确定 传递 URL 参数 
的 输入 的 来 源 , 开 发 人 员 可 以 通过 该 方式 实现 安全 限制 ,保证 URL 的 有 效 性 ,避免 恶意 
用 户 上 自己 生成 跳 转 链接 。 该 方法 的 一 个 明显 的 缺陷 是 ,不 是 所 有 的 服务 硕 问 都 可 以 得 到 
referer 信息 ,因为 很 多 浏览 希 出 于 信息 安全 考虑 会 阻止 发 送 referer 信息 。 

2) 加 入 有 效 性 验证 标记 

通过 在 生成 的 链接 内 加 入 用 户 不 可 探 的 有 效 人 性 验证 标记 对 生成 的 链接 进行 校 验 , 可 
以 避免 用 户 生 成 目 己 的 恶意 链接 从 而 被 利用 。 
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在 Web 应 用 中 , 当 允 许 外 界 以 参数 的 形式 来 指定 服务 器 上 的 文件 名 时 ,如 果 没有 对 
文件 名 进行 充分 校 验 ,就 可 能 会 导致 目录 遍历 漏洞 。 路 径 遍 历 漏洞 允许 攻击 者 突破 Web 
应 用 程序 的 安全 控制 ,访问 受 限 的 目录 ,获取 系统 文件 及 服务 器 的 配置 文件 ,如 日 志 、 源 代 
码 等 敏感 数据 ,甚至 采取 更 危险 的 行为 ,在 Web 服务 器 的 根 目录 以 外 执行 造成 系统 月 涡 
的 指令 。 


1 路 径 遍 历 的 原理 

大 多 数 Web 应 用 程序 都 有 读 取 查看 服务 需 文 件 的 功能 ,用 提交 的 参数 来 指明 文件 
名 ,例如 ,http://www. nuanyue. comy getfile 王 Image. jpg, 当 服 务 项 处 理 传送 过 来 的 
image. jpg 文件 名 后 , Web 应 用 程序 会 日 动 为 其 涩 加 宪 整 路 径 , 形 如 d://site/images/ 
image. jpg, 将 读 取 的 内 容 返 回 给 访问 者 。 从 表面 来 看 ,这 只 是 文件 区 互 的 一 种 简单 的 过 
程 ,但 是 由 于 文件 名 可 以 任意 更 改 ,而 且 服 务 硕 文 持 "一 /”“. . /2 等 特殊 符号 的 目录 回溯 ， 
从 而 使 攻击 者 可 以 越权 访问 或 者 罗兰 系统 敏感 数据 ,如 网 站 的 配置 文件 .系统 的 核心 文件 
等 ,这 样 的 缺陷 被 命名 为 路 径 饥 历 漏洞 。 

Web 服务 天 主要 提供 两 个 级 别 的 安全 机 制 : 访问 控制 列表 (Access Control List， 
ACL) 和 根 目录 访问 。 访 问 控制 列表 征用 于 授权 过 程 的 , Web 服务 但 的 管理 员 利 用 ACL 

of 


代码 安全 


限制 特定 的 用 户 或 用 户 组 在 服务 上 上 访问 .修改 和 执行 某 些 文件 的 权限 。 根 目录 是 服务 
天 文件 系统 中 的 一 个 特定 目录 ,对 用 户 来 说 它 驶 像 一 个 限制 ,使 用 户 无 法 访问 位 于 这 个 目 
录 以 上 的 任何 内 容 。 例 如 ,在 Windows 的 IIS 服务 硕 中 ,其 默认 的 根 目 录 是 C: 和 Inetpub 
\wwwroot, 则 用 户 一 旦 通过 了 ACL 的 检查 ,就 可 以 访问 C:\Inetpub\wwwzroot 目录 以 
及 其 他 所 有 位 于 这 个 根 目录 以 下 的 日 录 和 文件 ,但 用 户 无 法 访问 C:\Windows 目录 。 根 
目录 的 存在 能 够 防止 用 户 访问 服务 副 上 的 一 些 关 键 性 文件 ,例如 Windows 平台 上 的 
cmd. exe 或 Linux/UNIX 平台 上 的 口令 文件 。 

路 径 届 历 漏洞 形成 的 主要 原因 是 Web 网 站 对 Web 内 容 缺 乏 恰 当 的 访问 控制 ,攻击 
者 通 第 通过 访问 根 目录 ,发 送 一 系列 的 .. /字符 通 历 目录 ,或 通过 根 目 录 访 问 Web 应 用 所 
在 目录 之 外 的 路 径 ,以 明 历 更 遍 层 的 目录 。 路 径 明 有 历 漏洞 十 分 容易 发 现 , 只 需 对 Web 应 
用 程序 的 读 写 功 能 块 进行 手工 检测 ,就 能 通过 返回 的 页 面 内 容 卫 观 地 判断 是 否 存在 路 往 
调 历 漏洞 。 攻 击 者 只 需要 一 个 Web 浏览 需 和 关于 系统 的 一 些 默认 文件 和 目录 所 在 的 位 
置 的 知识 , 即 可 发 动 路 径 遇 历 攻 击 。 


2 路 径 损 历 的 攻击 场景 

路 径 届 历 漏洞 可 能 存在 于 Web 服务 硕 软 件 本 映 , 也 可 能 存在 于 Web 应 用 程序 的 代 
码 之 中 。 

1) 利用 Web 应 用 代码 进行 路 径 过 有 历 攻击 的 应 用 场景 

在 包含 动态 负面 的 Web 应 用 中 ,输入 往往 是 通过 GET 或 POST 的 请 求 方法 从 训 响 
器 获得 的 。 下 面 是 一 个 GET 的 HTTP URL 请 求 示 例 : 


http://test.webarticles.comshow.asp? view= oldarchive.html 


训 览 硕 用 这 个 URL 回 服务 硕 发 送 了 对 动态 页 面 show. asp 的 访问 请 求 , 并 且 同 时 发 
送 了 值 为 oldarchive. html 的 view 参数 , 当 访 问 请 求 在 Web 服务 需 端 执行 时 ,show. asp 
会 从 服务 器 的 文件 系统 中 取得 oldarchive. html 文件 ,并 将 其 返回 给 客户 端的 浏览 器 ,此 
时 攻击 者 就 可 以 假定 show. asp 能 够 从 文件 系统 中 获取 文件 ,于 是 恶意 构造 如 下 的 URL， 
希望 show. asp 能 够 从 文件 系统 中 获取 system. ini 文件 并 返回 给 用 户 ， 


htbp://test.webarticles.coyshow.asp?ViewF ../../../../../iinqws/system .ini 


虽然 攻击 痢 需 要 耗 费 精 力 去 猜测 需要 往 上 遇 历 多 少 层 才 能 找到 Windows 目录 ,但 这 其 实 
并 不 困难 ,经 过 和 在 干 次 的 答 试 便 可 成 功 。 

2) 利用 Web 服务 着 进行 路 算 明 历 攻 击 的 实例 

除了 Web 应 用 的 代码 以 外 , Web 服务 硕 本 身 也 可 能 存在 路 径 通 历 漏洞 ,这 些 漏洞 
可 能 存在 于 Web 服务 各 软件 或 一 些 存放 在 服务 此 上 的 示例 脚本 中 。 虽 然 在 最 近 的 
Web 服务 人 软件 中 这 个 问题 已 经 得 到 解决 ,但 是 网 上 的 很 多 Web 服务 惠 仍 然 使 用 老 版 
本 的 JS 和 Apache, 而 它们 则 可 能 仍然 无 法 抵御 这 类 攻击 。 态 外 ,即使 用 户 使 用 的 是 已 
经 解决 了 这 个 问题 的 Web 服务 华 软 件 版 本 ,仍然 可 能 存在 一 些 存 有 敏感 委 认 脚本 的 
目录 。 
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3 路 径 轴 历 漏洞 的 检测 

路 径 过 历 漏 洞 一 般 隐 藏 在 文件 读 取 或 者 展示 图 片 的 功能 块 中 ,一 般 采 用 通过 参数 提 
区 上 来 的 文件 名 的 形式 ,从 中 可 以 看 出 ,过 滤 交 互 数据 是 完全 有 必要 的 。 攻 击 者 利用 对 文 
件 的 读 取 权限 进行 跨越 目录 访问 ,例如 ,通过 和./../../../../../../etc/passwd” 或 者 
“,/../../../boot.ini” 等 形式 访问 一 些 受 控制 的 文件 。 当 然 现在 部 分 网 站 有 类 似 
WAF 的 防护 设备 ,只 要 在 数据 中 有 /etc /boot. ini 等 文件 名 出 现 , 网 站 就 会 直接 进行 拦 
堆 。 路 径 近 历 漏 洞 其 实 并 不 复杂 ,主要 是 对 Web 应 用 程序 的 文件 读 取 交互 的 功能 块 进行 
检测 。 以 下 两 种 方法 都 可 以 检测 出 该 漏洞 

(1) 利用 Web 源 洞 扫描 如 对 应 用 程序 进行 扫描 。Web 漏洞 扫描 符 通 过 i 
Web 站 点 的 所 有 目录 来 判断 是 人 否 存在 路 径 遇 历 油 洞 , 如 有 有 ,Web 省 洞 扫 摘 融 会 报 知 
湄 洞 并 给 出 对 应 的 解决 方法 。 除 了 目录 这 历 漏洞 以 外 , Web 漏洞 扫描 融 还 能 检查 sa 
注入 .路 站 点 脚本 攻击 以 及 其 他 篆 见 的 安全 漏洞 。 

(2) 查看 Web 日 志 中 是 否 有 未 授权 用 户 访问 越级 目录 的 事件 ,如 果 有 , 则 说 明 存 在 
路 径 笛 有 历 润 泣 。Web 应 用 服务 大 日 志 中 会 记录 针对 用 户 的 访问 行为 ,如 果 发 现 未 授权 用 
户 访问 越级 目录 ,或 者 通过 url 参数 对 规定 目录 之 外 的 系统 进行 操作 ,基本 可 以 判定 路 径 
裔 历 攻击 行为 正在 发 生 。 


4 路 径 遍 历 攻 击 的 防范 

防范 路 径 通 历 攻击 最 有 效 的 办 法 就 是 权限 控制 , 即 讶 地 处 理 传 回 文 件 系统 API 的 
参数 。 由 于 大 多 数目 录 或 者 文件 权限 都 没有 得 到 合理 的 配置 ,而 Web 应 用 程序 对 文件 的 
读 取 大 多 依赖 于 系统 本 号 的 API, 在 参数 传递 的 过 程 中 ,如 果 系 统 的 控制 检测 不 够 严格 ， 
就 会 出 现 越权 现象 。 

以 下 是 几 种 防范 路 径 届 历 攻击 的 方法 ,根据 不 同情 况 可 以 组 合 使 用 : 

(1) Web 应 用 程序 可 以 使 用 chrooted 环境 访问 包含 被 访问 文件 的 目录 ,或 者 使 用 
“绝对 路 径 十 参数 ?来 访问 文件 目录 ,使 其 即使 是 越权 或 者 跨越 目录 访问 ,也 只 能 被 限制 在 
指定 的 目录 下 。 和 用 的 www 目录 就 是 一 个 chroot 应 用 。chroot 是 UNIX 系统 的 一 个 操 
作 ,用 来 改变 程序 执行 时 所 参考 的 根 目 录 位 置 。 一 个 运行 在 此 环境 下 ,经 由 chroot 设置 
根 目 录 的 程序 ,将 无 法 对 指定 根 目 录 之 外 的 文件 进行 访问 , 谈 取 或 更 改 文 件 内 容 。 由 
chroot 设置 的 根 目 录 被 形象 地 称 为 “chroot 监狱 ”(chroot jail 或 chroot prison ) 。 

(2) 数据 净化 。 对 网 站 用 户 提 交 的 文件 名 参数 进行 便 编 码 或 者 统一 编码 ,对 文件 类 
型 利用 日 名 单 进行 控制 ,对 包含 恶意 符号 或 者 空 字 市 的 输入 进行 过 滤 ，。 

(3) 由 于 有 时 攻击 者 会 仿冒 网 站 的 其 他 用 户 来 执行 操作 ,此 时 就 需要 对 Web 网 站 的 
用 户 进行 授权 设置 。 人 全面 进行 Web 站 点 安全 设置 ,防止 攻击 者 能 够 仿冒 网 站 的 其 他 用 户 
来 执行 操作 ;确保 Web 网 站 对 用 户 的 安全 分 级 授权 方式 能 禁止 其 越级 和 跨 出 合法 区 域 的 
访问 。 对 使 用 的 Web 应 用 系统 进行 升级 和 安 妆 防 漏洞 补丁 。 

(4) 注意 文件 名 的 使 用 规范 。 固 定 文件 名 ;和 避免 由 外 部 指定 文件 名 ;使 用 编号 代 答 文 
件 名 ;文件 名 不 允许 包含 目录 名 ;文件 名 中 不 能 包含 / \、: 等 在 目录 中 使 用 的 字符 ;限定 
文件 名 中 仅 包含 字母 和 数字 。 
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425 不 安全 的 安全 哈 希 算法 


哈 希 (hash) 的 意思 为 散 列 。 在 哈 希 算法 中 ,输入 任意 长 度 的 字符 串 ,算法 能 给 出 固定 
长 度 的 字符 串 输 出 ,输出 的 字符 串 一 般 称 为 哈 希 值 ,典型 的 哈 希 算法 包括 MD4、MD5 和 
SHA-1 等 。 

安全 哈 硕 算法 (Secure Hash Algorithm, SHA) 是 经 FIPS (Federal Information 
Processing Standards, 联 邦 信 息 处 理 标 准 ) 认 证 的 算法 ,能 计算 出 一 个 数字 消息 所 对 应 的 
长 度 固 定 的 字符 串 ( 又 称 消息 摘要 )。SHA 家 族 包 括 5 个 算法 ,分 别 是 SHA-1、SHA-224、 
SHA-256 .SHA-384 和 SHA-512。 其 中 SHA-1 在 许多 安全 协定 中 广 为 使 用 , 曾 被 视 为 
MD5( 更 早 之 前 被 广 为 使 用 的 哈 希 图 数 ) 的 后 继 者 。 但 是 , 近 些 年 SHA-1 的 安全 性 受到 
密码 学 家 的 严重 质疑 。 

SHA-1 主要 适用 于 数字 签名 标准 (Digital Signature Standard,DSS) 中 定义 的 数字 签 
名 算法 (Digital Signature Algorithm，DSA) 。 对 于 长 度 小 于 2“b 的 消息 ,SHA-1 会 产生 
一 个 160 位 的 消息 摘要 。 当 用 户 接 收 到 消息 的 时 候 , 包 含 在 这 个 消息 中 的 消息 摘要 可 以 
用 来 验证 数据 的 完整 性 。 在 传输 的 过 程 中 ,数据 很 可 能 会 发 生变 化 ,这 时 候 就 会 产生 不 同 
的 消息 摘要 。SHA-1 有 如 下 特性 : 不 能 从 消息 摘要 中 复原 信息 ;两 个 不 同 的 消息 不 会 产 
生 同 样 的 消息 摘要 (其 实 会 有 10 “的 概率 出 现 相同 的 消息 摘要 ,不 过 一 般 在 实际 应 用 时 
忽略 这 一 点 )。 


1 安全 哈 希 算法 的 原理 和 用 途 

哈 希 算法 之 所 以 被 认为 是 安全 的 ,主要 是 基于 以 下 两 种 性 质 . 

(1) 无 冲突 。 无 法 找到 得 到 相同 输出 值 的 两 个 不 同 输入 。 也 就 是 当知 着 x 时 ,无 法 
求 出 一 个 y, 使 x 与 y 的 哈 硕 值 相同 。 无 冲突 使 得 哈 硕 算 法 对 原始 输入 的 任意 一 点 进行 
更 改 ,者 会 导致 产生 不 同 的 哈 而 值 , 因 此 哈 硕 鼻 法 可 以 用 来 检验 数据 的 气 整 性 。 用 户 在 一 
些 网 站 下 载 某 个 文件 时 ,网 站 会 提供 此 文件 的 哈 硕 什 ,以 供用 户 下 载 文件 后 检验 文件 是 否 

(2) 不 可 逆 。 不 可 从 结果 推导 出 它 的 初始 状态 。 也 就 是 当知 道 zxz 的 哈 希 值 时 ,无 法 
求 出 xz。 不 可 道 的 特性 使 哈 希 算法 成 为 一 种 单 回 密码 体制 ,只 能 加 密 ,不 能 解密 ,常用 来 
加 密 用 户 的 登录 密码 等 任 证 。 

然而 ,由 于 不 是 一 对 一 的 映射 , 哈 希 图 数 转 换 后 不 可 逆 , 即 不 可 能 通过 逆 操 作 和 哈 硕 
值 还 原 出 原始 的 全 ,受到 计算 能 力 的 限制 ,也 无 法 还 原 出 所 有 可 能 的 全 部 原始 住 。 而 且 由 
于 蛤 希 函 数 的 值 域 有 有限, 理论 上 会 有 无 穷 多 个 不 同 的 原始 值 ,它们 的 哈 希 仁 都 相同 。 
MD5 和 SHA 能 做 到 的 是 求 逆 和 求 碰撞 在 计算 上 不 可 能 ,也 就 是 正 向 计算 很 容易 ,而 反 向 
计算 即使 穷尽 人 类 所 有 的 计算 资源 都 做 不 到 。 

哈 希 算法 的 用 途 很 多 ,主要 有 以 下 3 种 . 

(1) 喻 希 算法 运用 在 字典 表 等 需要 快速 查找 的 数据 结构 中 ,其 计算 复 淋 度 很 低 , 不 会 
随 春 数据 量 增 加 而 增加 。 在 文件 签名 中 ,将 文件 内 容 通 过 哈 布 算法 处 理 后 得 到 一 个 哈 硕 
值 。 为 了 验证 这 个 文件 是 否 被 修改 过 ,只 需要 把 文件 内 容 用 同样 的 哈 希 算法 处 理 ,之 后 对 
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比 计算 得 到 的 哈 硕 但 和 随 文 件 一 起 传送 过 来 的 哈 硕 仁 即 可 。 如 采 不 公开 哈 硕 算法 ,那么 
信道 是 无 法 在 复 改 文件 内 容 的 时 候 和 修改 文件 哈 硕 值 的 。 不 过 一 般 在 应 用 的 时 候 , 哈 硕 算 
法 是 公开 的 ,这 时 候 会 用 一 个 非 对 称 加 密 算 法 加 密 这 个 哈 硕 信 ,这 样 即使 能 够 计算 出 文件 
的 哈 硕 值 , 但 由 于 攻击 者 没有 加 密 密 钥 ,依然 无 法 晕 改 加 密 后 的 哈 硕 仁 。 哈 希 算 法 也 可 以 
用 在 电子 签名 中 。 

(2) 哈 硕 算法 可 用 来 进行 破解 ,这 种 破解 不 是 传统 意义 上 的 解密 ,而 是 按照 已 有 的 哈 
硕 值 构造 出 能 够 计算 出 相同 哈 硕 值 的 其 他 原文 ,从 而 干扰 原文 的 不 可 复 改 性 的 验证 ,俗称 
“碰撞 ”。 这 种 碰撞 对 现 有 的 电子 签名 危害 并 不 严 午 ,因为 解密 时 需要 构造 出 有 意义 的 原 
文 ,否则 只 是 构造 了 一 个 完全 不 可 识别 的 原文 ,要 么 接收 系统 无 法 处 理 而 报错 ,要 人 么 在 人 
工 处 理 的 时 候 发 现 其 完全 不 可 读 。 

(3) 哈 希 算法 的 为 一 个 很 广 沁 的 用 途 就 是 很 多 程序 员 使 用 它 在 数据 库 中 保存 用 户 密 
码 。 为 了 保护 用 户 密码 的 安全 性 ,程序 员 通 党 不 会 卫 接 保存 用 户 密码 ,而 是 保存 用 户 密码 
的 哈 硕 值 。 验 证 用 户 密 码 的 时 候 , 用 相同 的 哈 希 算法 计算 用 户 输 入 的 密码 ,得 到 哈 希 值 后 
与 数据 库 中 存储 的 哈 硕 值 进 行 比 对 ,从 而 完成 验证 。 由 于 用 户 密 码 相 同 的 可 能 性 是 很 高 
的 ,为 防止 数据 库 党 理 员 猜 测 用 尸 密码 ,程序 员 还 会 执行 一 种 俗称 “ 撤 盐 ”的 操作 ,就 是 在 
计算 用 户 密码 的 哈 希 值 之 前 ,把 用 户 密码 和 男 一 个 比较 发 散 的 数据 (一 般 使 用 用 户 创建 时 
间 的 坚 秒 部 分 ) 拼 接 , 这 样 计 算出 的 哈 硕 值 一 般 都 不 一 梓 ,会 很 发 散 。 其 最 大 的 好 处 是 , 即 
使 数据 库 被 泄露 ,得 到 用 户 数 据 库 的 黑客 也 只 能 看 着 一 大 堆 哈 希 值 而 无 可 奈何 。 

2 安全 哈 希 算法 的 破解 

随 着 科技 的 发 展 和 密码 专家 的 不 断 探索 、 人 研究 ,安全 喻 希 算 法 已 经 不 够 安全 了 。2004 
年 ,对 SHA-0 的 解密 有 突破 性 的 进展 ,可 在 2” 的 计算 复杂 度 内 找到 碰撞 。 鉴 于 SHA-0 
的 解密 成 果 ,密码 专家 建议 那些 计划 利用 SHA-1 的 人 们 应 重新 考虑 。 

2005 年 ,密码 专家 发 表 了 对 完整 版 SHA-1 的 攻击 结果 ,只 需 低 于 2” 的 计算 复杂 度 ， 
就 能 找到 一 组 碰撞 ,而 此 前 利用 生日 攻击 法 找到 碰撞 需要 2 的 计算 复杂 度 。 他 们 展示 了 
一 次 对 58 次 加 密 循环 SHA-1 的 破 密 , 在 2” 的 计算 复 洒 度 内 就 找到 了 一 组 碰撞 。 

在 密 但 学 的 理论 中 ,任何 攻击 方式 ,其 计算 复杂 度 耕 低 于 骏 力 搜寻 法 所 需要 的 计算 复 
杂 度 , 束 可 以 被 视 为 针对 该 密码 系统 的 一 种 破解 法 。 虽然 这 并 不 表示 该 破解 法 已 经 进入 
实际 应 用 的 阶段 ,但 从 应 用 角度 来 看 ,一 种 新 的 破解 法 出 现 , 暗 示 看 将 来 可 能 会 出 现 现 有 
效率 、 蝎 接近 实用 的 改 民 版 本 。 里 然 这 些 实 用 的 破解 法 版 本 疯 未 诞生 ,但 现 有 的 安全 哈 若 
算法 已 经 不 够 安全 ,人 确 有 必要 发 展 更 强 的 喻 希 算 法 来 取代 旧 的 算法 。 

426 XPath 注入 漏洞 

随 看 全 球 化 发 展 , 人 与 人 之 间 的 交流 日 益 密切 ,XML 拉 术 的 应 用 也 越 来 越 广泛 , 例 
如 作为 信息 传输 的 载体 .应 用 程序 的 配置 信息 或 微型 数据 库 等 。 与 此 同时 ,针对 XML 数 
据 信息 的 XPath 注入 攻击 也 开始 慢 慢 出 现 。 

可 扩展 标记 语言 (eXtensible Markup Language,XML) 是 一 种 用 于 标记 电子 文件 ,使 
其 具有 结构 性 的 标记 语言 。XML 文档 就 是 通过 XML 的 标准 对 数据 进行 描述 的 一 种 形 
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式 , 它 的 设计 和 守则 是 传输 数据 ,而 不 是 显示 数据 。 通 津 情 况 下 ,XML 并 不 具备 常见 语言 
的 基本 功能 , 即 它 不 能 被 计算 机 识别 并 运行 ,而 需要 依 徘 其 他 方法 (例如 DOM) 来 帮助 计 
算 机 提取 并 识别 它 。XML 是 独立 于 软件 和 硬件 的 信息 传输 工具 ,并 在 近 些 年 成 为 在 各 
种 应 用 程序 之 间 进 行 数据 传输 的 最 第 用 的 工具 。 

XPath 即 XML 路 径 (XML Path) 语 言 , 它 是 一 种 确定 XML 文 梢 中 未 部 分 的 位 置 的 
语言 ,可 从 XML 文档 读 取 各 种 信息 。XPath 对 现 有 XML 文档 主要 是 基于 XML 分 析 器 
生成 节点 树 的 形式 来 进行 分 段 提 取 的 ,生成 的 树 中 包含 不 同类 型 的 节点 ,包括 元 率 
(element) 慷 点、 属性 (attribute) 廊 点 和 文本 (text) 市 点 等 , 它 提供 在 数据 结构 树 中 寻找 市 
点 的 能 力 。XPath 的 初 囊 是 作为 一 个 通用 的 、 介 于 XPointer (XML Pointer Language， 
XML 指针 语言 ) 与 XSLT(eXtensible Stylesheet Language Transformation, 可 扩展 样式 
表 语 言 转换 ) 间 的 语法 模型 ,但 是 很 快 XPath 就 被 开发 者 用 来 当 作 小 型 查询 语言 。 

XPath 表达 式 相 当 于 XPath 的 语言 指令 ,代表 其 发 出 的 操作 指令 ,其 中 最 重要 的 一 
种 是 路 径 表 达 式 。XPath 使 用 路 径 表 达 式 来 选取 XML 文档 中 的 节点 或 者 节点 集 , 在 
XML 文档 中 进行 导航 ,例如 ,/person/name 束 是 裔 历 全 部 的 根 元 率 及 其 下 级 的 子 元 系 。 
在 XML 信息 被 大 量 使 用 的 今天 ,其 数据 的 安全 性 显得 非常 重要 ,但 是 目前 关于 XPath 注 
和 人 攻击 防御 技术 的 研究 还 并 不 是 很 多 。 


1 XPath 注 入 攻击 原理 

XPath 注入 攻击 在 一 定 程 度 上 与 SQL 注入 攻击 类 似 , 部 是 输入 一 些 恶 意 的 查询 字符 
串 ,利用 系统 没有 进行 输入 检测 的 涯 洞 , 绕 过 或 修改 程序 的 最 初 目 标 功 能 ,从 而 对 网 站 进 
行 攻击 。XPath 注入 攻击 是 指 利用 XPath 解析 副 的 输入 漏洞 和 容错 特性 ,在 URL .表单 
等 输入 参数 中 附带 恶意 的 XPath 查询 语句 , 当 这 些 输入 作为 参数 传人 Web 应 用 程序 时 ， 
恶意 XPath 查询 语句 将 被 执行 ,攻击 者 可 以 轻 匈 获得 敏感 信息 的 访问 权 并 恶意 更 改 这 些 
敏感 信息 ,给 系统 知 成 严重 的 后 有 果 。XPath 注入 攻击 是 针对 Web 应 用 程序 的 新 的 攻击 方 
法 , 它 人 允许 攻击 者 在 不 知道 XPath 查询 相关 知识 的 情况 下 ,通过 XPath 查询 得 到 一 个 
XML 文档 的 完整 内 容 。 

XPath 注入 攻击 一 般 利 用 两 种 技术 , 即 XPath 扫 拉 和 XPath 查询 布尔 化 。 通 过 
XPath 注入 攻击 ,攻击 者 可 以 控制 用 来 进行 XPath 查询 的 XML 数据 库 。 这 种 攻击 可 以 
有 效 地 利用 XPath 碍 询 ( 和 XML 数据 库 ) 来 执行 号 份 验证 ,查找 或 者 其 他 操作 。XPath 
注入 攻击 同 SQL 注入 攻击 虽然 类 似 , 但 和 SQL 注 人 攻击 相 比 ,XPath 注入 攻击 在 以 下 方 
面具 有 优 努 : 

(1) 广泛 性 。XPath 注入 攻击 利用 的 是 XPath 查询 ,由 于 XPath 是 一 种 标准 语言 , 因 
此 ,利用 XPath 查询 的 Web 应 用 程序 如 果 未 对 输入 的 XPath 查询 进行 严格 的 处 理 ,都 会 
存在 XPath 注入 漏洞 ,所 以 可 能 在 所 有 的 XPath 实现 中 都 包含 该 漏洞 。 而 在 SQL 注入 
攻击 过 程 中 ,根据 数据 库 文 持 的 SQL 语言 不 同 , 注 入 攻击 的 实现 可 能 不 同 。 

(2) 危害 性 大 。XPath 语言 几乎 可 以 引用 XML 文档 的 所 有 部 分 ,而 对 这 样 的 引用 一 
般 没 有 访问 控制 。 在 SQL 注入 攻击 中 ,一 个 用 户 的 权限 可 能 被 限制 为 未 一 特定 的 表 、 列 
或 者 查询 ,而 XPath 注入 攻击 可 以 保证 得 到 完整 的 XML 文档 , 即 完整 的 数据 库 。 只 要 
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Web 应 用 程序 存在 基本 的 安全 漏洞 , 即 可 构造 针对 XPath 查询 的 目 动 攻击 。 


2 XPath 注 入 攻击 的 防范 措施 

目前 专门 的 XPath 注入 攻击 防御 技术 还 不 是 太 多 ,一 般 使 用 的 技术 如 下 : 

(1) 当 数 据 提交 到 服务 器 端 时 ,在 服务 句 端 正式 处 理 这 批 数据 之 前 ,对 数据 的 合法 性 
进行 验证 。 

(2) 检查 客户 端 提 交 的 数据 是 否 包含 特殊 字符 ,对 特殊 字符 进行 编码 转换 或 替换 , 删 
除 敏 感 字 符 或 字符 串 。 

(3) 对 于 系统 出 现 的 错误 信息 ,以 IE 错误 编码 信息 蔡 换 ,屏蔽 系统 本 和 号 的 出 错 信 息 

(4) 参数 化 XPath 查询 。 将 需要 构建 的 XPath 查询 表达 式 以 变量 的 形式 表示 ,变量 
不 是 可 以 执行 的 脚本 。 例 如 ,以 下 代码 可 以 通过 创建 保存 查询 的 外 部 文件 使 查询 参数 化 ; 


declare variable $1oginID as xs:string extermal; 
declare variable $password as xs:string extemal; 
//users/user[@ loginID= $loginID and @password= $password] 


(5) 通过 MD5 SSL 等 加 密 算 法 ,对 敏感 信息 和 传输 过 程 中 的 数据 进行 加 密 。 这 样 
即使 非法 用 户 获取 数据 包 , 看 到 的 也 是 加 密 后 的 信息 。 


427 硬 编码 密码 


el inn 悍 编 码 古 指 将 变量 用 一 个 固定 值 来 代 督 的 方法 ,也 就 古 
把 数值 写成 常数 而 不 是 变量 。 然 而 ,用 这 种 方法 编程 的 程序 一 旦 开始 使 用 ,对 程序 中 此 变 
量 值 的 更 改 将 变 冯 得 十 分 复杂 ,程序 的 可 用 性 将 大 大 降低 ,因为 程序 员 要 找 出 程序 中 每 一 外 
此 变量 出 现 的 地 方 。 和 尽 官 通过 编辑 天 的 得 找 和 和 蔡 换 功能 也 能 实现 变量 的 目 动 昔 换 ,但 往 
Ne 少 换 的 情况 ,而 在 计算 机 程序 中 ,任何 小 错误 的 出 现 虱 将 使 程序 无 法 正 篆 


下 面 用 一 些 简单 的 程序 请 句 说 明 便 编码 : 

。 Java 中 的 便 编 码 : int a 一 2,b 一 2;。 

。 便 编 介 : if(a 一 一 2) return false; 。 

。 非 便 编 码 : if(a 二 二 b) return true;。 

对 密码 进行 便 编 码 即 在 系统 中 采用 明文 的 形式 存储 密码 。 程 序 员 在 编写 程序 时 ,应 
* 量 避免 对 密码 进行 便 编 码 ,而 应 采用 对 密码 加 以 模糊 化 ,并 且 在 外 部 资源 文件 中 进行 处 
理 的 方法 ,或 将 密码 先 经 过 哈 硕 处 理 册 存储 。 便 编码 密码 会 造成 任何 有 该 代码 权限 的 人 
部 能 读 取 这 个 密码 ,滥用 密码 现象 出 现 的 可 能 将 大 大 增 大 。 心 怀 不 轨 的 员工 可 以 利用 手 
中 擎 握 的 信息 访问 权限 和 人 侵 系 统 , 算 改 系 统 设置 。 有 些 人 其 至 可 能 利用 人 硬 编 码 密码 建立 
一 道 后 门 , 从 而 保证 其 之 后 都 可 以 顺利 登录 并 修改 部 分 加 密 变 量 。 因 此 ,虽然 使 用 使 编 码 
密 但 可 以 提高 软件 开发 的 效率 ,但 在 软件 开发 完成 后 将 其 删 去 的 工作 太 过 于 复杂 ,次 大 于 
利 , 因 此 还 是 应 该 避免 使 用 便 编码 密码 ， 

此 外 ,有 一 些 开 发 者 将 密 钥 便 编 码 在 Java 代码 、 文 件 中 ,这 样 做 会 造成 很 大 风险 。 信 
奶 安 全 的 基础 在 于 密码 学 ,而 第 用 的 密码 学 算法 都 是 公开 的 ,加 密 内 容 的 保密 性 依 菲 的 是 
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密 钥 的 保密 性 。 如 果 密 钥 泄 露 ,对 于 对 称 密码 算法 来 说 ,知道 了 加 密 用 的 密 钥 算 法 和 加 密 
后 的 密 文 后 ,很 容 匈 就 能 得 到 加 密 前 的 明文 ;对 于 非 对 称 密码 算法 或 者 签名 算法 来 说 , 通 
过 了 解密 钥 和 要 加 密 的 明文 ,可 以 轻易 计算 出 签名 值 ,从 而 伪造 签名 ,进行 欺诈 行为 。 


4 3 ”Java 安全 编码 规 沁 


在 Java 编程 培训 中 ,关键 的 安全 编码 要 系 是 米 用 展 好 的 文档 和 强制 的 编码 规范 。 本 
书 提供 了 在 Java 语言 中 的 一 系列 安全 编码 规范 。 这 些 规范 的 目标 是 消除 不 安全 的 编码 ， 
因为 这 些 不 安全 的 编码 会 守 致 可 饿 攻击 者 利用 的 汤 润 。 如 采 应 用 这 些 安 全 编码 规范 ,可 
以 设计 出 安全 的 、 可 菲 的 ,健壮 的 、 有 弹性 的 、 可 用 性 和 可 维护 性 高 的 高 质量 系统 ,并 且 这 
些 安 全 编码 规范 还 可 作为 评 信 和 源 代码 质量 特性 的 一 个 指标 (不 管 是 人 工 还 是 目 动 化 的 过 
程 )。 


431 声明 和 初始 化 


1 防止 类 的 循环 初始 化 

在 Java 语言 规范 (Java Language Specification,JLS) 中 将 类 和 接口 的 初始 化 描述 为 ; 
对 类 进行 的 初 怒 化 包括 执行 该 类 的 静态 初 娘 化 方法 和 和 初 娘 化 该 类 中 的 前 态 数据 成 员 ( 类 
变量 )。 换 名 话说 ,一 个 家 仿 数据 成 员 的 出 现 会 触发 类 的 初始 化 。 然 而 ,一 个 静态 数据 成 
员 可 能 会 依赖 于 其 他 类 的 初始 化 ,这 样 有 可 能 形成 一 个 循环 初始 化 。 在 JLS 的 “类 变量 
的 初始 化 ?一 节 中 提 到 : 在 运行 态 中 ,使 用 编译 期 的 常量 来 初始 化 的 用 final 修饰 的 静态 
变量 是 最 先 初始 化 的 。 然 而 这 个 描述 很 容 匈 让 人 误解 ,因为 对 于 某 些 对 象 实例 而 言 ,变量 
就 算是 声明 为 static final 的 ,它们 的 初始 化 也 可 能 会 安排 在 后 期 进行 ,声明 一 个 变量 为 
static final 并 不 能 够 保证 它 在 被 谈 之 前 已 经 完全 初始 化 ,所 以 在 程序 中 ,特别 是 在 对 安全 
敏感 的 程序 中 ,必须 消 际 所 有 的 类 循环 初始 化 。 

1) 类 内 循环 

不 符合 规范 的 代码 示例 如 下 , 它 存 在 涉及 多 个 类 的 类 循环 初始 化 。 

public class Cycle { 

private final int balance; 


private static final Cycle 5C = new Cycle(); 
private static final int deposit = (int) (Math.random() ”166); // Random deposlt 





public Cycle() { 
balance = deposit - 18; // Subtract processing fee 


} 


public static void main(String[|] args) 1 
System.out.println("The account balance is:; ”+ ¢.balance); 


} 


} 


在 上 面 的 代码 中 , 先 定 义 了 一 个 final int 变量 balance, 静 态 的 初始 化 方法 可 以 保证 
只 调用 一 次 ,而 这 次 调用 是 在 第 一 次 使 用 静态 类 变量 或 者 在 第 一 次 调用 构造 图 数 之 前 发 
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生 的 。 接 下 来 ,声明 了 一 个 与 Cycle 类 具有 相同 属性 的 private static final 类 变量 c, 这 个 
变量 会 在 创建 Cycle 对 象 的 时 候 初 始 化 。 人 然后 进行 deposit 变量 的 初始 化 。 由 于 对 类 变 
量 c 的 初始 化 在 deposit 变量 初始 化 之 前 发 生 , 因 此 , 当 对 变量 c 进行 毅 仿 初始 化 时 ， 
Cycle 类 的 构造 函数 需要 读 取 deposit 的 值 。 然 而 ,此 时 由 于 还 没有 对 deposit 进行 初始 
化 ,deposit 的 值 是 0, 而 并 非 程序 所 需要 的 随机 值 ,因而 最 后 得 到 的 balance 的 全 并 不 是 
最 初 想 要 的 值 。 

符合 规范 的 代码 如 下 所 示 : 


public class Cycle { 
private final int balance; 
private static final int deposit = (int) (Math.random() * 199) // Random deposit 





private static final Cycle ¢ = new Cycle(); // Inserted after initialization of required fields 
public Cycle() 1 
balance = deposit - 16; // Subtract processing fee 


} 


public static void main(Sstring[| args) { 
System,.out.println(t The account balance 1is: " + C.balance),; 
} 
b 


上 面 的 代码 改变 了 类 Cycle 的 初始 化 次 友 , 特 别 是 将 变量 c 的 初始 化 插入 变量 
deposit 的 初始 化 之 后 , 则 c 会 在 deposit 被 完全 初始 化 之 后 再 进行 初始 化 ,所 以 上 面 的 代 
但 中 对 数据 成 员 的 初始 化 是 不 会 造成 任何 依赖 循环 的 。 

然而 , 当 涉 及 许多 字段 时 ,开发 者 很 难 发 现 这 样 的 循环 初始 化 。 因 此 ,确保 不 产生 这 
样 的 循环 束 非 党 重要。 需要 注意 的 是 ,尽管 这 个 方案 可 以 防止 循环 初始 化 ,但 它 仍然 依赖 
于 声明 次 序 , 因 而 也 是 十 分 脆 罚 的 。 程 序 的 维护 者 ( 非 开 发 者 ) 可 能 不 知道 这 种 声明 的 座 
序 可 以 保证 程序 的 正确 性 ,所 以 在 代码 的 文档 中 需要 清 茎 地 说 明 此 处 声明 次 序 的 重要 性 。 

2) 类 间 循 环 

不 符合 规范 的 代码 示例 如 下 : 

class A { 

public static final int a = B.b + 1; 


// .,， 
| 


class B { 
public static final int b = A.a + 1; 
je 
} 
在 程序 中 声明 了 两 个 类 ,这 两 个 类 部 有 前 态 变 量 , 而 且 这 些 静 仿 变 量 的 值 是 互相 依赖 
的 。 当 把 这 两 个 类 放 在 一 起 的 时 候 , 类 间 循 环 问题 可 以 很 容易 地 被 发 现 ;然而 当 把 它们 分 
开 的 时 候 , 开 发 者 却 很 容易 忽略 这 种 错误 。 
由 于 对 这 些 类 的 初始 化 次 序 是 可 变 的 ,所 以 当初 始 化 次 序 不 同时 ,程序 会 计算 出 不 同 
的 A.a 和 B.b 的 值 。 当 先 初始 化 A 类 时 ,A.a 的 值 是 2,B.b 的 值 是 1; 而 当先 初始 化 B 
类 时 ,A. a 的 值 是 1,B.b 的 值 是 2。 
符合 规范 的 代码 如 下 : 
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class A { 
public static final int a = 2) 
FE 

} 


class B { 
public static final int b = A.a + 1; 
J/ ... 

b 


通过 消除 其 中 一 个 依赖 , 即 固定 一 个 变量 值 的 初始 化 值 ,打破 了 这 个 类 间 循 环 。 程序 
结果 将 总 是 A.a 二 2 且 B.b 二 3, 与 初 娘 化 次 序 无 关 。 


2 不 要 重用 Java 标 准 库 中 公共 的 标识 

不 要 重用 在 Java 标准 库 中 已 经 使 用 过 的 公共 的 标识 ,包括 公共 的 工具 类 ,接口 或 者 包 。 
重用 公共 的 标识 会 降低 代码 的 可 读 性 和 可 维护 性 。 当 开发 者 使 用 和 公共 类 相同 的 名 字 ( 如 
Vector) 定 义 类 后 ,后 来 的 维护 者 由 于 不 知道 这 个 标识 并 不 是 指 java. util. Vector, 可 能 会 无 
意 地 使 用 程序 员 目 定义 的 Vector 类 而 不 是 原 有 的 java. util. Vector 类 ,使 得 这 个 由 开发 者 日 
定义 的 Vector 类 窗 兹 了 java. util. Vector 类 ,从 而 会 导致 不 可 预期 的 程序 行为 。 

良好 定义 的 Import 语句 可 以 解决 这 个 问题 。 然 而 ,如 果 重 用 的 命名 定义 是 从 其 他 包 
中 导入 的 ,使 用 type-import-on-demand declaration 会 将 程序 员 弄 糊涂 ,因为 他 需要 确定 
哪 一 个 定义 是 他 想 要 的 。 玖 外 , 通 稼 程序 员 会 使 用 IDE 目 动 包括 import 语句, 一 种 常见 
的 操作 是 在 编写 代码 后 才 生 成 这 些 import 语句 ,但 这 种 做 法 容易 导致 铺 误 。 在 Java 包 
含 的 import 引用 路 径 中 ,如 采 在 预期 的 类 出 现 之 前 出 现 了 一 个 目 定 义 的 类 ,那么 将 直接 
选择 这 个 日 定义 的 类 ,这 样 程 厅 员 就 会 在 无 意 中 使 用 了 错误 的 类 ，。 

不 符合 规范 的 代码 示例 如 下 : 


private int val = 1; 





public boolean isEmpty() { 
if (val == 1) { // Compares with 1 instead of @ 
return true,; 
} else { 
return false,; 
} 
} 
// other functionality 1s same as Java.util.Vector 


} 


/{ Import Java.util.Vector; omitted 
public class VectorUser { 
public static void main(string| | args) { 
Vector v = new Vector( ) ; 
if (v.isEmpty()) { 
System.out.printin( Vector 1s empty  ); 

} 

} 
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代码 中 定义 了 一 个 类 ,而 这 个 类 重用 了 java. util. Vector 的 名 称 。 代 码 在 isEmpty() 
中 使 用 了 一 个 不 同 的 条 件 判 断 , 和 尝试 通过 重 写 java. util. Vector 中 对 应 的 方法 来 达到 与 
遗留 代码 接口 的 目的 。 但 如 果 维 护 者 混 消 了 这 个 isEmpty() 和 java. util. Vector. 
isEmpty() ,就 会 使 程序 在 运行 时 出 现 不 可 预知 的 行为 。 

符合 规范 的 代码 如 下 。 

class MyVector { 

/ /other code 
} 


改进 后 的 代码 为 这 个 类 使 用 了 不 同 的 名 字 , 以 防止 这 个 类 和 窗 盖 Java 标准 类 库 中 的 同 
名 类 的 情况 出 现 。 

对 于 被 模仿 的 原始 类 ,最 好 的 方法 就 是 改变 设计 策略 ,这 些 策 略 可 以 更 倾向 于 接口 而 
不 是 抽象 类 的 方法 来 实现 。 将 原始 类 改变 成 接口 ,可 以 让 MyVector 类 声明 它 是 假设 的 
接口 Vector 的 实现 ,这 可 以 让 使 用 MyVector 的 代码 与 使 用 原始 Vector 实现 的 代码 互相 


3 将 所 有 增强 的 far 语句 的 人 循环 变量 再 明 为 fnal 类 型 

Java 5 平台 ( 因 foreach 循环 而 出 名 ) 引 入 了 增强 的 for 语句 ,用 来 对 对 象 集合 进 
行 迭代 。 在 基本 的 for 语句 中 ,给 人 循环 变量 赋值 不 会 对 循环 的 迭代 次 夺 产 生 影响 ;在 
增强 的 for 语句 中 ,给 循环 变量 赋值 , 虽 不 影响 整体 的 迭代 次 序 ,但 可 能 会 导致 程序 
员 产 生 困 惑 , 并 且 会 让 数据 的 状态 不 一 致 。 因 此 ,应 避免 给 for-each 循环 中 的 循环 变 

一 个 增强 的 for 循环 通常 采用 以 下 形式 : 

for (Cb] Type ob] : scme Iterable Item) 1 

pn 

} 

这 等 价 于 以 下 形式 的 基本 for 循环 : 


for (Iterator my Iterator = scm Iterable Item.1iterator () ; 
my Iterator.hasNext () ;) 1 

CbjType ob] =myTterator .next (}); 

ff 
} 


给 循环 变量 赋值 等 价 于 修改 循环 体 的 局 部 变量 的 值 ,而 这 个 变量 的 初始 值 会 被 循环 
迭代 华 引 用 。 这 种 修改 不 一 定 是 错误 的 ,但 是 它 可 能 会 使 衢 环 功能 模糊 ,也 可 能 表明 对 坟 
强 for 语句 的 基础 实现 有 误解 。 可 以 将 for 语句 中 的 所 有 循环 变量 声明 为 final, 从 而 拒绝 
对 这 个 循环 变量 的 任何 赋值 。 

不 符合 规范 的 代码 示例 如 下 : 
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List<Integer> list = Arrays.asList(new Integer[ | {13, 14, 15}); 
boolean first = true; 


System.out .println(“Processing list,..."); 
for (Integer i: list) { 
if (first) { 
tirst = false,; 


1 = new Intepger(99) ; 


} 


System.out.println(”New item: ”+ i); 
// Process 1 


! 


System,out .prlintln( Modifled list?"); 
for (Integer 1: list) { 
System.out.println( “LiLst item: 

上 面 的 代码 示例 使 用 增强 的 for 循环 处 理 对 象 集合 。 此 外 , 它 还 希望 跳 过 对 集合 中 
菏 一 个 元 系 的 处 理 。 

这 种 跳 过 下 一 个 集合 元 系 的 想法 看 起 来 是 可 以 实现 的 ,因为 已 经 成 功 地 为 循环 变量 
赋值 ,并且 processMe 变量 的 值 也 更 新 了 。 然 而 ,与 基本 的 for 循环 不 同 ,这 个 赋值 并 没 
有 改变 循环 执行 的 迭代 次 序 。 因 此 ,虽然 需要 跳 过 的 元 系 跳 过 了 ,但 是 它 之 后 的 元 系 被 处 
理 了 两 次 。 注 意 , 如 有 条 声明 processMe 为 final 型 ,在 试图 对 它 进行 这 样 的 赋值 时 ,就 会 产 

符合 规范 的 代码 如 下 : 


// ，,， 
for (final Integer 1: list) 1{ 


+ 1); 


ji. 


for (final Integer 1: list) 1{ 
Integer item = 1; 
if (first) { 
first = false: 





ltem = mew Integer(99),; 
! 
System.out.println(” New item: ”+ item); 
/i Process item 


| 


public void deleteFile(){ 


File someFile = new File(" someFileName.txt"); 
// Do something with someFile 
if (lsomeFile.delete()) { 

// Handle failure to delete the file 


} 
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这 个 符合 规范 的 代码 可 以 正确 地 处 理 集 合 中 的 每 一 个 对 象 ,并 且 每 一 个 对 象 只 会 被 
处 理 一 次 。 
432 表达 式 
1 不 要 忽略 方法 的 返回 值 
如 末 程 序 宕 要 通过 返回 值 来 判断 方法 调用 成 功 与 否 , 或 者 需要 通过 返 回 值 来 更 新 对 
象 或 数据 成 员 , 当 忽略 方法 的 返回 值 时 ,可 能 导致 不 可 预期 的 程序 行为 。 
不 符合 规 范 的 代码 示例 如 下 : 
public void deleteFile(){ 
File someFile = new File("someFileName.txt"); 
/i/ Do something with someFile 
} 
符合 规范 的 代码 示例 如 下 


public void deleteFile(){ 


File someFile = new File("someFileName.txt"); 
// Do something with someFile 
if (lsomeFile.delete()) { 


// Handle failure to delete the file 
上 





} 
不 符合 规范 的 代码 示例 如 下 : 


public class Replace { 
public static void main(String[ | args) { 
string original = “insecure”,; 





original.replace('i', '9°'); 
System.out.println(original); 
| 
} 


侍 合 规范 的 代码 示例 如 下 : 


public class Replace { 
public static void main(string[] args) { 
string original = “insecure"; 





original = original.replace('1i', '9°'); 
system.out.println(original); 
} 
} 


2 不 要 解 引 用 空 指针 
在 需要 对 象 的 实例 中 ,不 要 使 用 null 值 ,包括 : 调用 null 对 象 的 实例 方法 ,访问 或 修 
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改 null 对 象 的 字段 , 取 数 组 为 null 的 长 度 , 访 问 或 修改 数组 元 系 为 null 的 对 象 , 抛 出 的 异 
第 对 象 为 null, 等 等 。 


不 符合 规范 的 代码 示例 如 下 : 


public static int cardlnallity(ob]Ject ob], final Collection<?> col) { 
int Count = 日 ; 
if (col == nul1) { 
return count; 
} 
Iterator<?> it = col.1iterator(); 
while (it.hasNext()) 1 





count++; 


} 


return count; 


} 
符合 规范 的 代码 示例 如 下 : 


public static int cardinality(Object ob] ，final Collection col) { 
Int count = 8; 
if (col == null) { 
return count; 
} 
Iterator it = col.iterator(); 
while (it.hasNext()) { 





COUNt++; 


} 
} 


return Count ; 


} 


3 不 要 使 用 equals0 比 较 两 个 数组 的 内 容 
使 用 equalsO 〇 比较 两 个 数组 第 被 误解 为 比较 的 是 两 个 数组 的 内 容 , 实 际 上 equals() 
方法 比较 的 是 数组 的 引用 而 不 是 数组 的 内 容 。 要 比较 两 个 数组 的 内 容 , 需 要 使 用 


Arrays. equals()。 而 如 果 使 用 equals0) 方 法 比较 数组 的 内 容 , 会 产生 不 正确 的 结果 ,从 而 
导致 安全 问题 。 


不 符合 规范 的 代码 示例 如 下 : 


int[ | arr1 = new int|[286|; // Initialized to @ 
int[ | arr2 = new int[26|]; // Initialized to 6 
System.out.println(arr1.equals(arr2)); // Prints false 





符合 规范 的 代码 示例 如 下 ， 


int[] arrl = new int[29]; // Initialized to 0 
int[ | arr2 = new int[29]; // Initialized to 6 
System.out .println(Arrays.equals(arr1，arr2)); // Prints true 
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符合 规范 的 代码 示例 如 下 : 


int[ | arrl = mew int[28|; // Inltliallzed to 6 
int[ | arr2 = mew int[28|; // Initialized to 8 





System.out.println(arr1 == arr2); // Prints false 


4 不 要 用 == 和 = 比较 基本 数据 类 型 的 封闭 值 

不 要 用 三 三 和 ! 二 对 基本 数据 类 型 的 封 滩 值 进行 比较 ,因为 这 两 个 操作 符 比 较 的 是 对 
象 引 用 而 不 是 对 象 仁 。 如 采 目 动 封 家 的 值 是 true 和 false、 从 \u0000 到 \u007f 的 字符 、 
一 128 一 127 的 整 型 或 短 整 型 值 ,那么 用 二 = 二 和 ! 二 进行 比较 ,结果 是 成 立 的。 使 用 = = 
和 ! 王 操作 符 比 较 基 本 数据 类 型 的 封 痕 值 ,会 导致 错 误 的 比较 结果 ，。 

不 符合 规范 的 代码 示例 如 下 : 


public class Wrapper { 
public static void main(String[] args) { 


Integer 11 = 180; 
Integer 12 = 180; 
Integer 13 = 1000; 
Integer i4 = 1006; 


System,out 
System.out 


System,.out 
System.out 





.println(11 == 
.println(11 != 
.println(13 
.println(13 != 





} 
} 


符合 规范 的 代码 示例 如 下 : 


public class Wrapper { 
public static void main(String| | args) { 

Integer 11 = 100; 
Integer 12 = 100; 
Integer 13 = 1000; 
Integer 14 = 1000; 
system.out .println(i1.equals(12)); 
system.out.println(!i1.equals(12)); 
system.out.println(i3.equals(14)); 
system.out.println(!i3.equals(14)); 








不 符合 规范 的 代码 示例 如 下 : 


public void SO ET 





if (bl == b2) { // Never equal 
System,Out,println( "Never printed"); 
} 


/1 
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符合 规范 的 代码 示例 如 下 : 


public void ee 





if (bl == b2) { // Always equal 
system,out.printin( “ Always printed ); 
} 


b1 = Boojlean,TRUE ; 
if (bl == b2) { // Always equal 
System.out.println( Always prInted ); 
} 
lL 


5 不 要 将 不 同类 型 的 参数 传 给 特定 Jaa 集 合 框架 方法 
Java 集合 框架 方法 有 采用 泛 型 定义 的 ,也 有 不 采用 泛 型 定义 的 ,这 种 设计 是 为 了 更 
好 地 兼容 ,但 是 这 种 设计 也 会 导致 编码 错误 。 将 参数 传递 给 特定 的 Java 集合 框 染 方法 ， 
当 参 数 类 型 与 方法 类 型 不 一 致 时 ,可 能 会 导致 失败 ,从 而 导致 意外 的 对 象 保留 .内 存 泄漏 
或 不 正确 的 程序 操作 等 。 
不 符合 规范 的 代码 示例 如 下 ， 
public class shortset { 
public static void main(String[ | args) { 
Hashset<Short> s = new Hashset<Short>(); 
for (int 1 = 68; 1 < 16; 1++) { 
s.add( (short)i); // Cast required so that the code compiles 


s.remove(1); // Tries to remove an Integer 
} 
System.out.println(s.size()); 
! 
} 





符合 规范 的 代码 示例 如 下 : 


public class ShortSet { 
public static void main(Sstring| | args) { 
Hashset<Sshort> s = new Hashset<Short>(); 
for (int 1 = 8; 1 < 10; i++) { 
s.add( (short)i); 
人 / Remove a Short 





ee err.printin( Error removing + 1); 
} 


} 
System.out.println(s.size()); 


} 
} 
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6 不 要 在 断言 中 使 用 有 副作用 的 表达 式 

断言 是 一 种 方便 的 机 制 , 可 以 用 来 在 代码 中 加 入 诊断 测试 。 使 用 标准 断言 语句 的 表 
达 式 时 必须 避免 副作用 ,此 副作用 会 导致 程序 行为 依赖 于 断言 功能 是 否 已 开局 。 

不 符合 规范 的 代码 示例 如 下 : 


private ArrayList<string> names ; 


void process(int index) { 





assert names.remove(null); // Slide effect 
/fo.,. 
} 


符合 规范 的 代码 示例 如 下 : 


private ArrayList<string> names ; 


void process(int index) { 
boolean nullsRemoved = names.remove(null); 
I es 

} 


433 ”面向 对 象 


1 限制 字段 的 访问 

将 数据 成 员 声 明 为 私有 , 则 会 破坏 程序 封 究 性 ,同时 将 该 数据 成 员 雁 露 给 其 他 程序 。 
不 符合 规范 的 代码 示例 如 下 : 

public class Wildget { 


public int total; // Number of elements 
void add() { 
if (total < Integer.MAX VALUE) { 
total++; 
站 
} else { 
throw new ArithmeticException("Overflow" ); 
} 


void remove() { 
if (total > 6) { 
total--, 
fi 
} else { 
throw new ArithmeticException("Overflow" ); 


} 
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符合 规范 的 代码 示例 如 下 : 
public class Widget { 


private int total; // Declared private 
public int getTotal() { 


return total; 
} 
void add() { 
if (total < Integer .MAX VALUE) { 
totalt++; 
fo 
} else { 
throw new ArithmeticException("Overflow" ),， 
} 


void remove() { 
if (total > 8) { 





total--,; 
/i ... 
} else { 
throw new ArithmeticException("Overflow" ); 
} 
} 
} 
2 防止 堆 污 染 


当 参 数 化 类 型 的 变量 引用 不 属于 参数 化 类 型 的 对 象 时 ,就 会 发 生 堆 污染 。 将 泛 型 类 
型 的 代码 与 原 娘 类 型 的 代码 混 合 在 一 起 是 堆 污 染 的 一 个 第 见 来 源 。 沁 型 类 型 是 在 Java 5 
引入 的 ,对 于 遗留 代码 的 改进 会 涉及 这 个 问题 。 

不 符合 规范 的 代码 示例 如 下 , 它 将 错误 的 数据 加 入 列表 中 。 

public class ListUtility { 


private static void addToList(List list, Object obj) { 
list.add(obij); // Unchecked warning 


public static void main(String[] ares) { 
List<String> list = new ArrayList<String>(); 
addTolist(list, 42),; 
System.out .println(list.get(0)); // Throws ClassCastException 





} 
符合 规 范 的 代码 示例 如 下 : 


private static void addToList(List<String> list, String str) { 
list.add(str); // No warning generated 


} 


public static void main(Strineg[] args) { 
List<String> list = new ArrayList<String>( ) ; 
addTolList(list, "42"), 
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System.out.println(list.get(8)); 
} 


private static void addToList(List list, Object obj) { 
list.add(obj); // Unchecked warnine, also throws ClassCastException 


} 
public static void main(String[] args) { 
List<String> list = new ArrayList<String>(); 
List<String> checkedList = Collections.checkedList(list, String.class); 
addToList(checkedList, 42); 
System.out.println(list.get(0@)); 


3 不 要 使 用 公共 充 态 的 非 fimal 类 型 字段 
在 程序 中 个 要 害 鲜 非 final 类 型 的 公共 毅 态 (public static) 字 段 ,这 样 的 字段 可 被 外 
不 符合 规范 的 代码 示例 如 下 : 


package org.apache.xpath.compller; 


public class FunctionTable { 
public static FuncLoader m functions; 





} 
从 合 规范 的 代码 示例 如 下 : 


public static final FuncLoader m functions ; 
// Initialize m functions ln a static initlialization block 





434 方法 

1 必要 的 方法 参数 验证 

应 该 对 方法 的 参数 进行 验证 ,从 而 确保 参数 是 在 方法 预计 的 范围 内 ,保证 基于 该 参数 
的 操作 能 产生 有 效 的 结果 。 如 果 没 有 对 参数 进行 验证 ,可 能 会 导致 不 一 致 的 运算 、 执 行 异 
常 和 控制 流 漏洞 。 

不 符合 规范 的 代码 示例 如 下 : 


private Object mystate = null,; 


// Sets some internal state ln the library 
void setstate(Object state) { 

mystate = state, 
! 


// Performs some action using the state passed earlier 
void Usestate() { 
// Perform Some action here 


| 
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从 合 规范 的 代码 示例 如 下 : 


private Object mystate = null; 


// Sets some internal state ln the library 
void setstate(Object state) { 
if (state == null) { 
// Handle null state 





' 


/i/ Defensive copy here when state 1s mutable 


if (isInvalidstate(state)) { 
// Handle invalid state 


上 
mystate = state, 


} 


// performs some action using the state passed earlier 
void usestate() { 
if (myState == nul]1) { 
// Handje no state (e.g., null) condition 





2 不 要 使 用 痉 用 的 或 过 时 的 类 和 万 法 
不 要 在 新 开发 的 代码 中 使 用 弃 用 的 或 过 时 的 类 和 方法 ,否则 会 导致 不 正确 的 程序 行 
为 。 弃 用 的 或 过 时 的 类 和 方法 的 替换 示例 如 表 4-1 所 示 。 
表 4-1 弃 用 的 或 过 时 的 类 和 方法 的 替换 示例 


弃 用 的 或 过 时 的 类 和 方法 新 的 类 和 方法 
java. lang. Character. 1sJavaLetter() Java. lang. Character, 1sJavaldentifierStart( ) 
java. lang. Character. 1sJavaLetterOrDigit( ) java. lang. Character. isJavaldentifierPart() 
java. lang. Character. isSpace() java. lang. Character. isWhitespace( ) 
java. lang. Class. newlnstance() java. lang. reflect. Constructor. newJInstance( ) 
java. util. Date(many methods) java. utll. Calendar 
]ava. util, Dictionary=K,V~> ]ava. util. Map=K,V~> 


3 不 要 在 done( 方 法 中 调用 可 重 与 的 方法 
在 clone() 方 法 中 调用 可 重 与 的 方法 是 不 安全 的 ,一 个 恶意 的 于 类 可 以 对 方法 进行 重 
写 并 改变 clone() 的 行为 ,一 个 可 信任 的 子 类 可 以 查看 被 克隆 对 象 在 创建 完成 之 前 的 某 一 
特定 的 初始 化 状态 。 在 元 隆 过 程 中 调用 可 重 写 的 方法 会 将 类 的 内 部 雁 露 给 恶意 代码 ,或 
将 特定 的 初始 化 状态 骏 露 给 可 信任 代码 ,从 而 违反 类 的 不 变性 。 
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435 异常 处 理 


1 不 要 消除 或 忽略 可 检查 异 音 

程序 员 和 常常 使 用 一 个 空 的 或 简单 的 catch 程序 段 来 捕获 受 控 制 的 异常 ,并 将 其 消除 。 
每 一 个 catch 程序 段 都 必须 确保 程序 只 在 功能 不 变 且 有 歼 的 情况 下 继续 运行 。 因 此 ， 
catch 程序 段 必 须要 么 从 异 币 中 恢复 ,将 异 稼 重新 抛 出 ,由 下 一 个 和 try 语句 对 应 的 catch 
程序 段 来 处 理 异常 ;要 么 根据 catch 程序 段 的 上 下 文 抛 出 男 一 个 适合 的 异 第 。 这 种 行为 
的 风险 是 消除 或 忽略 异 第 会 叶 致 不 一 致 的 程序 状态 ， 

AMQ-1727 摘 述 了 ActiveMQ 服务 中 的 一 个 汤 洞 , 当 ActiveMQ 从 STOMP 客户 病 
接收 了 无 效 的 用 户 名 和 密码 时 生成 了 一 个 安全 异常, 但 是 被 忽略 了 ,这 使 得 STOMP 客户 
痊 可 以 对 ActiveMQ 进行 完全 不 受 限制 的 访问 。 

不 符合 规范 的 代码 示例 如 下 : 

try { 


Fars 
} catch (IOEXCeptlon lioe) 1{ 


loe.printstackTrace( ) ; 


} 

打印 异 当 的 堆栈 跟 嗓 可 以 用 于 调试 目的 ,但 是 执行 生成 的 程序 等 同 于 抑制 异常 。 打 
印 堆 栈 跟 踊 还 可 以 回 攻 击 者 泄露 有 关 该 进程 的 结构 和 状态 的 信息 。 注 意 , 即 使 这 个 不 羔 
容 的 代码 示例 通过 打印 堆栈 跟 踊 来 对 异常 作出 反应 ,但 它 仍 然 会 继续 执行 ,就 好 像 这 个 异 
第 没 有 被 抛 出 一 样 。 也 就 是 说 ,应 用 程序 的 行为 不 受 抛 出 寞 第 的 影响 ,除非 在 抛 出 异 第 的 
点 之 后 ,在 try 块 中 出 现 的 任何 表达 式 或 语句 部 不 会 被 评 佑 。 

下 面 的 代码 通过 请 求 用 户 指 定 为 一 个 文件 名 来 处 理 一 个 FileNotFoundException 
异常 ， 


和 下 


volatile boolean validFlag = false; 
do { 
try 1 
// If requested file does not exist, throws FileNotFoundException 
// If requested file exists, sets validFlag to true 





} while (validFlag != true); 
// Use the file 


2 不 能 允许 异 弟 泄露 敏感 信息 
异常 可 能 会 泄露 敏感 信息 。 在 异 当 传递 的 过 程 中 ,如 果 不 对 敏感 信息 进行 过 滤 , 第 会 
导致 信息 泄露 ,这 将 有 助 于 攻击 者 实现 对 系统 的 攻击 。 
CVE-2009-2897 描述 了 在 SpringSource Hyperic HQ 几 个 版 本 中 的 蜂 站 脚本 漏洞 ,这 些 
漏洞 允许 远程 攻击 者 通过 赋予 参数 无 效 的 数据 来 注入 任意 网 页 脚本 或 HTML 代码 。 这 些 
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汤 润 源 于 一 个 未 捕获 的 java. lang. NumberFormatException 异常 ,而 这 个 异常 是 由 在 网 站 和 异 
面 中 输入 无 效 数 全 引起 的 。 异 第 导致 的 信息 泄露 或 者 威胁 的 示例 如 表 4-2 所 示 。 
表 4-2 异常 导致 的 信息 泄露 或 者 威胁 的 示例 


示例 名 称 信息 泄漏 或 威胁 的 描述 
java. io. FileNotFoundException 底层 文件 系统 结构 ,用 户 名 枚 举 
java. lang. OQutOf MemoryError 拒绝 服务 
java. lang. StackOverflowError 拒绝 服务 
java. security. acl, NotOwnerException 所 有 者 枚 举 
Java. sql. SQLException 数据 库 结 构 , 用 户 名 枚 举 
java. util. ConcurrentModificationException 可 能 提供 有 关 线 程 不 安全 代码 的 信息 
java. util. jar. JarException 底层 文件 系统 结构 
java. util MissingResourceException 资源 枚 举 


Javax. naming. InsufficientResourcesException 服务 硕 资 源 不 足 ( 可 能 有 助 于 DoS) 


不 符合 规范 的 代码 示例 如 下 ， 


class ExceptionExample { 





public static void main(String| | args) throws FileNotFoundException 1{ 
// Linux stores a User s home directory path ln 
// the environment Varlable $HOME, Windows in %APPDATA% 
FileInputstream fls = 
new FlleInputstream(System.getenv("APPDATA” ) + args[98|); 


} 
} 


在 上 面 的 代码 示例 中 ,程序 必须 读 取 用户 提 供 的 文件 ,但 是 文件 系统 的 内 容 和 结构 是 敏感 
的 。 程 序 接收 一 个 文件 名 作为 输入 参数 ,但 是 不 能 阻止 任何 产生 的 异常 被 提交 给 用 户 。 当 一 
个 请 求 的 文件 没有 人 被 找到 时 ,FileInputStream 构造 图 数 抛 出 一 个 FleNotFoundException, 允许 
攻击 者 通过 重复 癌 程 序 传递 虚假 的 路 人 径 名 来 重建 底层 文件 系统 。 

从 合 规范 的 代码 示例 如 下 : 

try { 

FileInputstream fis = new FileInputSstream(file),; 
} catch (FileNotFoundException x) { 


System.out.println("“Invalid file"); 
return; 


} 


3 记录 日 志 时 应 避免 异常 
记录 日 志 时 抛 出 的 异常 会 妨碍 记录 的 完成 。 如 果 没 有 考虑 到 写 入 日 志 时 发 生 异 常 所 
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可 能 性 , 则 会 造成 安全 源 洞 。 

将 此 类 异 第 写 入 标准 错误 流 , 对 于 日 志 记 录 来 说 是 不 够 的 。 自 和 完 , 标 准 错误 流 可 能 会 
锌 耗 尽 或 关闭, 从 而 防止 后 续 寞 第 的 记录 。 其 次 ,标准 错误 流 的 信任 级 别 可 能 不 足以 记录 
东 些 安全 关键 的 (security-crltical) 异 稼 或 销 误 ,而 不 会 泄露 敏感 信息 。 如 末 在 编 与 安全 
异 负 时 出 现 了 一 个 输入 输出 错误 ,那么 catch 块 将 抛 出 一 个 IOException , 而 临界 安全 异 
向 将 丢失 。 最 后 ,攻击 者 可 能 会 伪造 开 币 ,使 其 发 生 在 其 他 几 个 无 害 的 开 音 中 。 使 用 
Console. printf()、System, out, print() 或 Throwable. printStackTrace() 输 出 一 个 安全 异 
常 也 违反 了 这 条 规范 。 在 对 数据 进行 日 志 记 录 时 , 抛 出 的 异常 会 导致 数据 丢失 。 

HARMONY-59812 描述 了 以 下 漏洞 : FileHandler 类 接收 到 日 志 信息 ,但 如 果 一 个 
线程 关闭 了 对 应 的 文件 , 则 为 一 个 线程 会 在 笠 试 记录 日 志 时 抛 出 寞 第。 

不 符合 规范 的 代码 示例 如 下 : 


1 catch (SecurityException se) { 





system.err.println(se); 
// Recover from exception 


} 
侍 合 规范 的 代码 示例 如 下 : 
try 1 

// ... 


1 catch(SecurityException se) { 


logger.log(Level.sEVERE, se); 


// Recover from exception 


} 


4 不 要 在 finally 程 序 段 非 正 常 退出 

不 要 在 finally 程序 段 中 使 用 return break continue 或 throw 语句 。 当 程序 进入 币 
有 finally 程序 段 的 try 程序 段 时 ,不 管 try 程序 段 是 否 完 成 执行 ,finally 程序 段 总 是 会 
行 的 ,造成 finally 程序 段 非 正 彰 终止 的 语句 会 导致 try 程序 段 非 正 党 终止 ,从 而 消除 了 从 
try 或 catch 程序 段 抛 出 的 任何 异 第 。 非 正常 退出 finally 程序 段 掩 盖 了 对 应 的 try 或 
catch 程序 段 抛 出 的 任何 异常 。 

不 符合 规范 的 代码 示例 如 下 : 

class TryFinally 1 


private static boolean doLogic() { 
try { 
throw new IllegalstateException( ) ; 
} finally { 
System.out.println("logic done ) 
} 
} 
} 
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符合 规范 的 代码 示例 如 下 : 


class TryFinally { 
private static boolean doLogic() { 
try 1 
throw new IllegalstateException(); 
} finally { 
system.out.printiln(" logic done'); 


// Any return statements must go here; 


// applicable only when exception 1s thrown conditionally 





5 不 要 捕获 NilPontaFxoeption 

程序 不 能 捕获 java. lang. NullPointerException , 一 个 运行 时 抛 出 的 空 指针 异 篆 表 
明 存 在 一 个 对 空 指针 的 解 引 用 ,这 是 必须 在 应 用 程序 中 解决 的 。 捕 获 空 指针 异常 可 
能 掩盖 潜在 的 空 指针 解 引用 ,降低 应 用 性 能 ,并 造成 代码 难以 理解 和 维护 ，。 
RuntimeException、Exception 和 Throwable 等 也 可 能 会 掩盖 其 他 异 筑 ,并 妨碍 对 异 稼 
的 正确 处 理 。 

不 符合 规范 的 代码 示例 如 下 : 

boolean lsName(String s) { 


try { 
string names[|] = s.split(" "); 


if (names.length != 2) { 
return false,; 
} 
return (isCapitalized(names[8|]) && isCapitalized(names[1|])); 
ticatch (NullPointerException e) { 
return false,; 
} 
} 


符合 规范 的 代码 示例 如 下 : 


boolean lsName(String s) { 
if (s == null) { 
return false; 
} 
string names[|] = s.split(™” "); 
if (names.length != 2) { 
return false,; 


} 


return (lsCapitalized(names[8|) && isCapitalized(names|[1|)); 
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436 线程 锁 


1 不 要 将 贫 对 象 桑 露 给 与 非 受 信人 代码 交 互 的 类 
声明 为 synchronized 的 方法 和 同步 于 this 引用 的 代码 块 部 使 用 了 对 象 的 monitor 
(内 置 锁 ) ,攻击 者 会 通过 控制 系统 来 触发 竞争 和 和 死 锁 ,这 可 以 通过 获得 并 且 永 久 地 持 有 一 
个 可 访问 的 类 的 内 置 锁 来 实现 ,从 而 引发 Dos 攻击 。 
不 符合 规范 的 代码 示例 如 下 ; 
public class SomeObject { 
dbl she locks on the i object S monltor 





// Untrusted code 
synchronized (SomeObject.class) { 
while (true) { 
Thread.sleep(Integer.MAX VALUE); // Indefinitely delay someObject 
} 
} 


符合 规范 的 代码 示例 如 下 . 


Eee class nied ke { 





public static void changeValue() { 


synchronized (lock) { // Locks on the private Object 
ji a 
} 
} 
} 


2 不 要 基于 可 能 被 重用 的 对 象 进行 同步 

错误 地 使 用 同步 的 基本 数据 类 型 是 并 发 问题 的 一 个 常见 来 源 ,基于 可 能 被 重用 的 对 
象 进行 同步 ,会 导致 死 锁 和 不 确定 的 程序 行为 。 使 用 错误 的 对 象 类 型 进行 同步 是 产生 并 
发 源 洞 的 主要 原因 。 

不 符合 规范 的 代码 示例 如 下 : 


private final String lock = new String("LOCK").intern(); 


public void doSomething() { 
synchronized (lock) { 
J 
} 
} 
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符合 规范 的 代码 示例 如 下 : 


private final Object lock = new Object(); 





public void doSomething() { 
synchronized (lock) { 
ff 


3 不 要 基于 gtdas0 返 回 的 类 对 象 来 实现 同步 
基于 getClass() 的 返回 值 进 行 同步 ,会 导致 不 可 预期 的 程序 行为 。 对 于 子 类 的 Class 


对 象 来 说 , 它 与 其 基 类 的 Class 对 象 是 完全 不 同 的 。 
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不 符合 规范 的 代码 示例 如 下 : 


class Base { 
static DateFormat format = 
DateFormat.getDateInstance(DateFormat .MEDIUM ) ; 


public Date parse(String str) throws ParseException { 
synchronized (getClass()) { // Intend to synchronizes on Base.class 


return format.parse(str); 


} 
} 


public Date doSomething(String str) throws ParseException { 
return new Helper().doSomethingAndParse(str); 


} 


private class Helper { 
public Date doSomethingAndParse(String str) throws ParseException { 
synchronized (getClass()) { // Synchronizes on Helper.class 
fe 
return format.parsel(str); 
} 
} 
上 
} 


符合 规范 的 代码 示例 如 下 : 
class Base { 


static DateFormat format = 
DateFormat. getDateInstance(DateFormat .MEDIUM); 


public Date parse(Strlng str) throws ParseException { 
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} catch (ClassNotFoundException x) { 
// "Base” not found; handle error 
} 
return null; 
} 
} 


4 不 要 基于 highrlevel 并 发 对 象 的 内 置 锁 来 实现 同步 

在 java. util. concurrent, locks 包 中 的 Lock 和 Condition 接口 的 类 ,被 认为 是 high- 
level 的 并 发 对 象 , 对 这 样 的 对 象 使 用 内 置 锁 是 有 问题 的 做 法 ,尽管 看 起 来 代码 的 功能 是 
正确 的 。 这 样 做 容 多 造成 混乱 : 使 用 锁 对 象 的 代码 很 可 能 与 使 用 锁 接 口 的 代码 交互 ,这 
导致 两 个 组 件 误 认 为 它们 用 来 剑 护 数据 的 锁 是 用 相同 的 ,而 实际 上 它们 使 用 两 个 不 同 的 
锁 。 因 此 , 锁 将 无 法 保护 任何 数据 。 基 于 high-level 并 发 类 库 的 内 置 锁 实 现 同步 ,会 因为 
不 一 致 的 锁 规则 而 导致 不 确定 的 行为 。 

不 符合 规范 的 代码 示例 如 下 : 


private final Lock lock = new ReentrantLock(); 


public void doSomething() { 


en 人 站 


} 
} 


从 合 规范 的 代码 示例 如 下 . 


private final Lock lock = new ReentrantLock(); 


public void doSsomething() { 
lock.1lock(); 
try { 
J 
} finally { 
lock.unlock(); 
} 
} 
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规范 摘 述 : 启动 一 个 新 线程 应 该 调用 Thread 的 start() 方 法 。 如 有 果 直 接 调用 Thread 
的 run() 方 法 ,run() 方 法 中 的 语句 是 由 当前 线程 而 不 是 新 创建 的 线程 来 执行 的 。 不 能 正 
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确 地 局 动 线程 会 导致 不 可 预期 的 程序 行为 。 
不 符合 规范 的 代码 示例 如 下 : 


public final class FOO implements Runnable { 
@Override public void run() { 
A 
} 


public static void main(String[|] args) { 
Foo foo = new Foo(); 
new Thread(foo).run(); 


} 
! 


侍 合 规范 的 代码 示例 如 下 : 
public final class Foo implements Runnable { 
@override public void run() { 
0 
1 


public static void main(String| | args) { 
Foo foo = new Foo(); 


new Thread(foo).start(); 





} 
} 


2 不 要 调用 ThreadGrop 中 的 一 些 方法 

Java 中 的 每 个 线程 都 属于 一 个 线程 组 ,ThreadGroup 提供 了 对 于 同一 线程 组 的 线程 
同时 进行 操作 的 便利 方法 。 但 ThreadGroup 中 的 很 多 方法 是 不 提倡 使 用 的 (如 resume()、 
stop() .suspend() 等 ) ,还 有 一 些 人 危险 但 可 以 使 用 的 方法 ,如 ThreadGroup. activeCount ()、 
ThreadGroup. enumerate()。 使 用 ThreadGroup API 可 能 导致 竞 态 .内 存 油 漏 及 不 一 臻 
的 对 象 状 态 。 


3 唤醒 所 有 等 竺 中 的 线程 而 不 是 一 个 线程 

Object 的 notify() 和 notifyAll(O) 分 别 用 来 唤醒 等 待 中 (调用 了 Object. wait() 方 法 ) 
的 一 个 或 多 个 线程 。notifyAll() 方 法 会 唤醒 所 有 等 竺 同一 对 象 锁 的 线程 ,notify() 只 吹 
醒 一 个 线程 ,并 不 保证 哪 一 个 线程 会 接 到 通知 。 如 果 没 有 满足 等 待 的 条 件 , 那 么 选中 
的 线程 会 继续 每 生 , 这样 就 违背 了 通知 的 上 日 的 。 同 样 java. util concurrent. locks 的 
Condition. signal( ) 和 Condition. signalAll() 用 来 唤醒 调用 时 由 于 Condition. await() 受 阻 


4 不 要 使 用 Threadstop0 来 终止 线程 
调用 该 方法 将 寻 致 释放 该 线程 持 有 的 所 有 倘 , 可 能 会 条 露 这 些 锁 保 护 的 对 象 。 
不 符合 规范 的 代码 示例 如 下 ， 
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public final class Contalner implements Runnable 1{ 
private final Vector<Integer> Vector = new Vector<Integer>(10880); 


public Vector<Integer> getVector() { 
return Vector ， 


} 


@Override public synchronized void run() { 
Random number = new Random(123L); 
int i = vector.capacity(); 
while (1 > 9) { 
Vector .add(number .nextInt(106) ) ; 
LE 
} 
上 


public static void maln(String[] args) throws InterruptedException { 
Thread thread = new Thread(new Container()); 
thread .start( ) ; 
Thread .Sleep(5906) ) 


} 

在 展示 符合 规范 的 例子 之 前 , 先 对 中 断 线 程 interrupt() 进 行 描述 : 

当 对 一 个 线程 调用 interrupt() 时 ,不 是 真正 中 断 了 正在 运行 的 线程 ,而 是 将 线程 的 
中 断 状态 (每 个 线程 都 有 的 布尔 标志 位 ) 置 位 ,每 个 线程 都 应 该 不 时 地 检查 这 个 标志 位 ,以 
判断 线程 是 否 补 中断。 

如 果 一 个 线程 处 于 阻塞 状态 (如 thread. sleep .thread. join thread. wait 等 ) , 则 在 检 
查 中 断 标志 位 时 如 果 发 现 中 断 标 志 位 为 true, 则 会 在 这 些 阻 塞 方法 调用 处 抛 出 
InterruptedException 异 第 ,并 且 在 抛 出 异常 后 立即 将 线程 的 中 断 标 志 位 清除 , 即 重新 设 
置 为 false。 抛 出 异常 是 为 了 将 线程 从 阻塞 状态 唤醒 ,并 在 结束 线程 前 让 程序 员 有 足够 的 
时 间 来 处 理 中 断 请 求 。 

不 可 中 断 的 操作 ,包括 进入 synchronized 段 以 及 Lock. lock()、inputStream. read() 
等 ,调用 interrupt() 无 效 , 因 为 它们 属 不 抛 出 中 断 异 第 。 如 果 不 能 获得 资源 ,它们 会 无 限 
期 阻塞 。 对 于 Lock. lock(), 可 以 改 用 Lock. lockInterruptibly(), 即 可 被 中 断 的 加 锁 操 
作 , 它 可 以 抛 出 中 断 异 第 。 对 于 inputStream 等 资源 ,可 以 通过 close() 方 法 将 其 关闭 ,对 
应 的 阻塞 也 会 被 解除 。 

符合 规范 的 代码 示例 如 下 : 

public final class Container implements Runnable 1 


private final Vector<Integer> Vector = new Vector<Integer>(1000 ) ; 
private volatile boolean done = false; 


public Vector<Integer> getVector() { 


return vector; 


} 
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public void shutdown() { 
done = true,; 


} 


@Override public synchronized void run() { 
Random number = new Random(123L); 
int 1 = vector.capacity(); 
while (lIdone & 1 > 60) { 
vector.add(number .nextInt(1696) ) 





public static void main(string[ |] args) 上 throws InterruptedEXception { 
Container container = new Container(); 
Thread thread = new Thread(contalner); 
thread, start(); 
Thread ,sleep(5909 ) ; 
contaliner .shutdown( ) ; 


} 
} 


线程 的 thread. interrupt() 方 法 用 于 中 断 线 程 ,将 设置 该 线程 的 中 断 标记 位 , 即 设置 
为 true, 中 断 的 结果 是 线程 死亡 还 是 线程 等 每 新 的 任务 或 继续 运行 至 下 一 步 , 取 决 于 程序 
本 号 。 线 程 会 不 时 地 检测 中 断 标记 位 ,以 判断 线程 是 否 应 该 被 中 断 ( 中 断 标记 位 是 否 为 
true) , 它 并 不 像 stop() 方 法 那样 会 中 断 一 个 正在 运行 的 线程 。 

下 面 是 使 用 volatile 标志 位 来 请 求 线程 终止 的 代码 : 


public final class Contalner implements Runnable { 
private final Vector<Integer> Vector = new Vector<Integer>(1000 ) ; 


public Vector<Integer> getVector() { 
return Vector ; 


} 


@override public synchronized void run() { 
Random number = new Random(123L); 
int i = vector.capacity(); 
while (!Thread.interrupted() && 1 > 08) { 
Vector .add(number.nextInt(1686)); 
1--; 


} 








public static void main(String[|] args) throws InterruptedException { 
Container c¢ = new Container(); 
Thread thread = new Thread(c); 
thread. start( ) ; 


Thread. sleep(58860); 
thread. interrupt(); 
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438 输入 输出 


1 检查 和 处 理 与 文件 相关 的 第 误 

Java 的 文件 操作 方法 通常 使 用 返回 值 而 不 是 抛 出 异 第 来 指示 其 错误 ,因此 ,程序 如 
朱 忽 略 文件 操作 返回 全 ,将 不 能 发 现 文件 操作 的 失败 。 不 对 执行 文件 I/O 操作 的 返回 但 
进行 检查 ,可 能 会 产生 异常 的 行为 。 

因为 SecurityException 是 一 个 运行 时 异 第 ,所 以 不 需要 声明 它 。NoSuchFileException.、 
DirectoryNotExmptyException 和 IOException 都 属于 编 详 时 异 稼 ,需要 处 理 。 
NoSuchFileException 和 DirectoryNotExmptyException 在 继承 IOException 的 同时 也 继 
藉 了 IOException 中 catch 子 句 的 解决 方案 。 

不 符合 规范 的 代码 示例 如 下 : 

public void methodBad61(String args[]) { 
File file = new File(args[6] ); 


file.delete( ); 
. 


侍 合 规范 的 代码 示例 如 下 : 


public void methodGood61() { 
File file = new File( file ); 
if (!file.delete()) { 


System.out.println("Deletion failed");, 
} 





} 


2 在 程序 终止 前 删除 临时 文件 

在 不 再 需要 临时 文件 时 应 删除 它们 ,可 以 让 文件 名 和 其 他 资源 循环 使 用 。 每 个 程序 
午 应 在 正 稼 操作 期 间 删 除 临 时 文件 。 没 有 绝对 的 方法 可 以 保证 在 异 稼 终止 的 情况 下 删除 
孤立 的 文件 ,即使 使 用 finally 代码 块 也 不 能 保证 这 一 点 。 出 于 这 个 原因 ,许多 系统 使 用 
临时 文件 清理 工具 来 扫 摘 临时 目录 和 删除 旧 文 件 。 这 样 的 实用 程序 可 以 由 系统 管 理 员 手 
动 调用 ,也 可 以 由 系统 进程 定期 调用 。 但 是 ,这 些 工具 本 刁 也 币 币 存在 基于 文件 操作 的 安 
全 源 洞 。 在 程序 终止 之 前 未 删除 临时 文件 会 于 臻 信息 泄露 和 竣 源 耗 尽 。 

不 符合 规范 的 代码 示例 如 下 : 


public static void Main Strine args throws IOQOException { 






if (TT 全 寺村 { 
System.out.println("This file already exists"); 
return,; 

} 

FileOQutputSstream fop = null,; 

try { 
fop = new FileOQutputStream(f); 
String str = "Data"; 
fop.write(str.getBytes()):; 

} finally { 
if (fop != null) { 

try { 
fop.closel( ); 
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} catch {IOException x) { 
// Handle error 


} 


} 
从 合 规范 的 代码 示例 如 下 : 


public static void main(Strine[] args) { 
Path tempFile = null; 
try { 
tempFile =|Files.createTempFilLe("tempnam", ".tmp"); 
try (BufferedWriter writer = 





Files.newBufferedWriter(tempFile, Charset.forName ("UTF8"), 


SstandardOpenOption.DELETE ON CLOSE)) { 


// Write to file 
} 


System.out.println("Temporary file write done, file erased"), 


+ catch {FileAlreadyExistsException x) 1 
System.err.println("File exists: ”+ tempFile),; 

} catch (IOException x) { 
// Some other sort of failure, such as permissions. 


System.err.println("Error creating temporary file: ”十 | 
代码 中 使 用 了 Java 7 的 nio2 包 中 的 方法 创建 临时 文件 ,createTempFile() 方 法 创建 
了 一 个 不 可 预测 的 名 字 , 且 代码 中 使 用 try 的 构造 函数 来 打开 文件 ,这 样 不 管 
常 ,系统 都 会 自动 关闭 文件 。 最 后 使 用 DELETE_ON_CLOSE 选项 ,以 实现 在 关闭 文件 


的 时 候 删 除 文 件 。 
3 检查 和 处 理 与 文件 相关 的 稍 误 


调用 Java 垃圾 收集 策 释 放 没 有 被 引用 且 没 有 被 释放 的 内 和 存 。 但 是 ,java 垃圾 收集 各 
不 能 释放 非 内 存 资 源 , 例 如 打开 文件 描述 往 和 数据 库 连 接 。 当 资源 不 再 需要 时 ,如 来 不 能 


卫 接 释放 这 些 非 内 存 资 源 , 会 耗 尽 这 些 资 源 。 
不 符合 规范 的 代码 示例 如 下 : 


public int processFile(sString fileName) 
throws IOException, FileNotFoundException 1 
FileInputSstream stream = new FileInputstream(fileName); 
BufferedReader bufRead = 
new BufferedReader(new InputstreamReader(stream) ) ; 
string line,; 
while ((line = bufRead .readLine()) l= null) { 
sendLine(line); 
上 
Feturn 1: 


} 
侍 合 规范 的 代码 示例 如 下 : 


try 1 
final FileInputSstream stream = new FileInputSstream(fileName); 


try { 
final BufferedReader bufRead = 


new BufferedReader(new InputstreamReader(stream)); 
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string line; 
while ((line = bufRead .readLine()) != null) { 


sendLine(line); 
} 
} finally { 
if (stream |!= null) { 
try { 


stream.close(); 


} catch (IOException e) { 
// Forward to handler 
} 
} 


} catch (IOException e) { 
// Forward to handler 


! 


try (FileInputstream stream = new FileInputstream(fileName); 
BufferedReader bufRead = 


new BufferedReader(new InputstreamReader(stream))) { 





string line; 
while ((line = bufRead ,readLine()) 1!= null) { 
sendLine(line); 


} 
上 catch (IOException e) { 
// Forward to handler 


} 


4 使 用 wrap0 或 duplicate0 万 法 创建 的 绥 冲 区 不 要 桑 露 给 不 受信 任 的 代码 

Buffer 类 在 java. nio 包 中 定义 ,如 IntBuffer、CharBuffer、ByteBuffer, 这 些 类 定义 了 
一 系列 的 wrap() 方 法 ,用 来 将 对 应 的 基本 数据 拓 型 的 数据 封 表 到 一 个 缓冲 区 中 ,并 返回 
一 个 Buffer 对 象 来 代表 这 个 缓冲 区 。 新 的 缓冲 区 由 指定 的 字符 数组 来 文 持 ,对 这 些 缓冲 
区 的 修改 会 导致 数组 的 修改 。 将 这 些 绥 冲 区 骏 露 给 不 受信 任 的 代码 ,会 将 其 背后 的 数组 
也 花 句 给 恶意 的 攻击 者 。 同 样 ,duplicate() 方 法 创建 了 额外 的 缓冲 区 ,这 个 缓冲 区 背后 是 
文 持原 怒 缓 冲 区 的 数组 。 骏 圳 这 个 额外 的 缓冲 区 给 不 受信 任 的 代码 ,同样 也 会 将 其 暴 雷 
给 恶意 的 攻击 者 。 使 用 wrap() 或 duplicate() 方 法 创建 的 缓冲 区 可 能 会 暴露 给 不 受信 任 
的 调用 者 ,使 其 可 以 修改 原始 数据 。 

不 符合 规范 的 代码 示例 如 下 : 

final class Wrap | 

private char[ | dataArray; 


public Wrap() { 
dataArray = new char[16 |]; 
// Initialize 


! 
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public CharBuffer getBufferCopy() { 


return CharBuffer .wrap(dataArray ) ; 
} 


} 

上 面 的 代码 示例 声明 了 一 个 char 数组 ,将 其 封 家 在 缓冲 区 CharBuffer 中 ,并 通过 
getBufferCopy() 方 法 将 CharBuffer 又 露 给 不 受信 任 的 代码 。 

符合 规范 的 代码 示例 如 下 : 

final class Wrap 1 


private char[ | dataArray ; 


public Wrap() { 
dataArray = new char|[16|]; 
// Initialize 


+ 


public CharBuffer getBufferCopy() 1 





return CharBuffer.wrap(dataArray).asReadonlyBuffer(); 


+ 
} 
不 符合 规范 的 代码 示例 如 下 : 


final class Dup { 
CharBuffer cb; 


public Dup() { 
cb = CharBuffer .aljocate(16) ; 
// Initialize 


} 


public CharBuffer getBufferCopy() 1 


return cb.duplicate(); 


} 
} 
上 面 的 代码 示例 调用 duplicate() 方 法 来 创建 和 返回 CharBuffer 的 副本 ， pa 
区 由 与 原始 缓冲 区 相同 的 数组 文 持 。 因 此 ,如 果 调 用 者 修改 了 文 持 数 组 的 元 素 ,那么 
修改 也 会 影响 原始 缓冲 区 。 
符合 规范 的 代码 示例 如 下 : 
final class Dup { 
CharBuffer cb ; 


public Dup() { 
cb = CharBuffer.allocate(186); 
// Initialize 


} 


Pe charBuffer as { 
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$. 从 一 个 流 中 读 取 字符 或 字 书 与 一 1 的 比较 
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Inputstream. read() 和 Reader. read() 方 法 分 别 用 于 从 一 个 流 中 读 取 一 个 字 厄 或 字 
和 全。Inputstream. read() 从 一 个 输入 源 读 取 一 字 节 ,并 将 其 值 作为 一 个 0~~255 的 整 型 值 
返回 。Reader. read() 方 法 读 取 一 个 字符 ,并 将 其 值 作为 一 个 0 一 65 535 的 整 型 人 返回 。 


这 两 个 方法 都 通过 返回 32 位 值 一 1 表示 





已 经 到 达 流 的 结束 处 ,后 面 再 没有 可 用 的 数据 。 


如 采 在 与 值 一 1 进行 比较 之 前 将 结 采 由 整 型 值 转换 为 字 记 或 字符 ,将 会 产生 铺 误 。 程 序 
必须 在 流 纺 束 后 再 将 返回 值 压 缩 到 字 市 或 字符 中 。 使 用 一 个 罕 类 型 的 类 获取 字 市 输入 方 


法 的 返回 值 会 导致 严重 的 漏洞 ,包括 命令 行 注 入 淖 洞 。 
不 符合 规范 的 代码 示例 如 下 : 


FileInputstream in; 

// Initialize stream 

while ((data = (byte) in.read()) != -1) { 
ji 

lb 


符合 规范 的 代码 示例 如 下 : 


FileReader in: 

1/ Initialize stream 

int lnbufTf,; 

char data， 

while ((Inbuff+ = in.read()) != -1) { 





data = (char) inbuff; 
ra 
} 


不 符合 规范 的 代码 示例 如 下 ， 


FileReader 1n; 
// Initialize stream 


while ((data = (char) in.read()) != -1) { 
// ... 
} 


符合 规范 的 代码 示例 如 下 : 


FileReader In; 

// Initiallize stream 

int inbuftf, 

char data, 

while ((Inbuff = in.read()) != -1) { 
data = (char) inbuff; 
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第 5 章 
”PHP 安全 编码 


随 着 互联 网 的 发 展 ,Web 2.0、 云 计算 、 物 联网 等 热门 概念 不 断 催生 新 的 产业 和 服务 ， 
与 此 同时 ,PHP 作为 支撑 这 些 新 的 产业 和 服务 的 技术 体系 也 得 到 了 空前 发 展 。 本 董 首先 
概述 PHP 开发 的 安全 现状 ;其 次 对 常见 的 PHP 安全 漏洞 进行 原理 分 析 , 提 出 可 用 的 防 
范 方案 ;最 后 总 结 PHP 安全 编码 规范 ,以 帮助 程序 设计 人 员 更 好 .更 安全 地 进行 Web 
开发 。 


51 ”PHP 开发 安全 现状 


互联 网 快速 发 展 不 断 创新 的 特点 使 得 网 站 开发 必须 以 最 快 的 开发 速度 和 最 低 的 成 
本 完成 ,才能 保持 领先 性 ,以 吸引 更 多 的 网 民 。 而 PHP 的 运行 效率 高 .开发 速度 快 、 可 扩 
展 性 强 、 开 源 自由 等 优点 非常 符合 目前 的 互联 网 发 展 趋势 ,因此 , 越 来 越 多 的 Web 应 用 选 
择 PHP 作为 主流 的 技术 方案 。 

1 EBP 的 优点 

PHP(Hypertext Preprocessor, 超 文本 预 处 理 硕 ) 是 一 种 通用 开源 脚本 声言 。PHP 
最 初 的 瑞 文 全 称 是 Personal Home Page( 个 人 主页 ) , 它 是 用 Perl 语言 编写 的 ,是 用 来 显 
示人 个 人 履历 以 及 统计 网 页 流量 的 个 人 网 页 工具 程序 。 后 来 , 随 看 信息 技术 的 发 展 ,PHP 
可 以 和 数据 库 连 接 ,生成 动态 网 页 程序 ,因此 逐步 应 用 于 Web 开发 领域 ,在 各 种 规模 的 网 
站 中 应 用 广泛 。 


与 其 他 同类 编程 语言 相 比 ,PHP 有 以 下 优点 : 
(1) 语法 简单 。 其 语法 吸收 了 Java、C 以 及 Perl 等 语 诗 的 优点 , 境 法 简单 ,初学 者 容 
多 竿 握 。 


(2) 开源 日 由 。PHP 是 免费 的 开源 代码 。 它 有 很 多 较为 成 熟 的 资源 ,例如 开源 论坛 
Discuzl .Phpwind 等 ,开源 框架 Zend Framework、CakePHP、Codelgniter、symfony 等 , 开 
源 博客 WordPress 等 ,开源 网 语系 统 Ecshop、ShopEx 等 ,开源 SNS 系统 UCHome、 
ThinkSNS 等 ,可 元 分 满足 使 用 者 的 各 种 应 用 需求。 

(3) 效率 高 。 由 于 PHP 是 将 程序 垦 入 HTML 文档 中 执行 的 ,用 PHP 作出 的 动态 页 
gab tena HTML 标记 的 CGI 要 融 许 多 ,而 且 PHP 能 实现 CGI 的 所 有 功 
能 。PHP 与 一 般 的 脚本 代码 不 同 , 它 可 以 执行 编 详 后 的 代码 , 编 详 时 可 以 对 代码 进行 加 
本 ,使 代码 运行 更 快 、, 效 率 更 高 。 

(4) 可 扩展 性 强 。PHP 可 以 用 C、C++ 等 语言 进行 程序 的 扩展 。 
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(5) 跨 平 台 能 力 强 。PHEP 的 路 平台 能 力 使 它 文 持 几 乎 所 有 流行 的 数据 库 以 及 操作 
系统 。PHP 常 与 免费 的 开源 Web 服务 器 Apache 和 数据 库 MySQL 配合 ,运行 在 Linux 
平台 上 (这 个 组 合 简称 LAMP ,号 称 "Web 架构 黄金 组 合 ”) ,具有 很 高 的 性 价 比 , 不 仅 能 够 
降低 使 用 成 本 ,还 能 够 提升 开发 速度 ,满足 最 新 的 互动 式 网 络 应 用 开发 的 需求 。 

(6) 面 回 对 象 。PHP 4、PHP 5 在 面 回 对 象 方 面 进行 了 很 大 的 改进 , 现 阶 段 的 PHP 
已 经 可 以 用 来 开发 大 型 商业 程序 。 

PHP 适合 快速 开发 中 小 型 应 用 系统 ,能 够 对 变动 的 需求 做 出 快速 反应 。 目 前 ,在 全 
球 几 千 万 个 互联 网 网 站 中 ,有 半数 以 上 使 用 的 是 PHP 技术 。 越 来 越 多 的 公司 对 开发 语 
言 的 选择 从 ASP、Java 转 到 了 PHP, 这 种 现象 使 得 PHP 社区 越 来 越 活 路 ,而 活跃 的 PHP 
社区 又 反 过 来 影响 到 很 多 项 目 或 公司 的 开发 语言 选择 ,形成 民 性 循环 PHP 的 快速 \ 开 
发 成 本 低 、 周 期 短 、 后 期 维护 费用 低 、 开 源 产 品 丰富 等 优点 都 是 其 他 语言 所 无 法 相 比 的 。 


2 HP 开发 的 安全 问题 

随 独 越 来 越 多 的 公司 选择 使 用 PHP 进行 网 站 等 Web 应 用 程序 开发 ,PHP 开发 的 安 
全 问题 开始 慢 慢 浮现 。 相 对 于 其 他 语言 ,PHP 最 大 的 问题 就 是 语法 不 够 严 意 ,缺乏 统一 
的 编码 规范 。 例 如 ,PHP 对 函数 名 、 方 法 名 、 类 名 是 不 区 分 大 小 写 的 ,变量 不 需要 定义 就 
可 以 使 用 ,虽然 这 些 问 题 在 编 详 时 一 般 可 以 通过 ,但 是 在 实际 执行 中 容易 发 生 不 可 控 的 问 
题 。 攻 击 者 还 可 能 利用 这 些 编码 漏洞 进行 和 广 和 人 攻击 , 禄 取 隐 私信 息 ,造成 系统 受 损 。 最 初 
PHP 采用 的 是 面 回 过 程式 编程 ,因此 不 同 开发 者 的 编程 风格 各 异 。 虽 然 现 在 PHP 已 经 
支持 面 回 对 象 , 各 类 框架 的 命名 规范 也 在 一 定 程度 上 约束 了 编码 人 员 的 风格 ,但 编码 不 规 
范 的 情况 依然 非常 次 过 ,造成 程序 后 期 维护 困难 。 而 其 他 声言 (如 Java) 更 为 规范 .严格 ， 
有 利于 维护 和 阅读 ,即使 是 初学 者 也 可 以 写 出 规范 的 代码 。 

PHP 是 弱 数 据 类 型 语言 ,也 称 为 弱 类 型 定义 语言 。 与 强 类 型 定义 语言 相反 ,在 PHP 
中 ,数据 类 型 可 以 被 忽略 , 即 在 定义 一 个 变量 的 时 候 不 需要 为 它 指 定数 据 类 型 ,而 是 在 解 
释 的 时 候 根 据 人 的 情况 动态 地 赋 了 杰 量 数据 类 型 。 明 数据 类 型 声言 不 符合" 所 见 即 所 得 ” 
的 原则 ,定义 的 变量 类 型 是 不 可 预见 并 且 可 以 改变 的 ,变量 类 型 的 不 可 控 性 会 导致 在 执行 
过 程 中 出 现 大 量 的 变量 类 型 “隐形 转换 "。 在 开发 人 员 不 清楚 “隐形 转换 "规则 的 情况 下 ， 
极 容易 产生 不 可 预知 的 运行 结果 ,例如 ,难以 通过 编译 发 现代 码 缺 陷 , 难 以 优化 编译 以 提 
升 代码 性 能 ,开发 时 难以 做 出 正确 的 语言 提示 ,以 及 容易 出 现 注 入 漏洞 等 安全 性 问题 。 

PHP 的 生命 周期 设计 决定 了 它 的 异 篆 处 理 功 能 使 用 得 并 不 广泛 ,因而 此 功能 也 一 下 
不 人 够 完善 。Discuz1 .DECMS、Ecshop 等 系统 的 异 第 处 理 能 力 都 很 弱 ,一 旦 执行 期 间 发 生 
异 币 , 驶 可 能 导致 程序 朋 小 ,这 对 于 业务 稳定 性 要 求 高 的 系统 影 啊 很 大 。 攻 击 者 只 需 通 过 
简单 的 分 布 式 攻击 网 可 以 使 系统 参 省 ,影响 系统 的 正 背 业务 。 

3) 忽 遭 受 注 和 人 攻击 

PHP 文件 使 用 require() 男 数 引 入 或 者 包含 外 部 文件 。 当 PHP 文件 被 执行 时 ,外 部 
文件 的 内 容 就 将 被 包含 进 该 PHP 文件 中 ,如 果 包 含 的 外 部 文件 发 生 错误 ,系统 将 抛 出 错 
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误 提 示 ,并 且 停 止 PHP 文件 的 执行 。 使 用 require() 函数 可 以 包含 URL 或 文件 名 , 当 力 
数 中 存在 动态 包含 文件 的 时 候 , 攻 击 者 可 以 利用 远程 文件 使 得 程序 访问 并 执行 恶意 文件 ， 
会 造成 一 系列 安全 隐患 。 

PHP 的 安全 开发 是 一 个 艰巨 的 任务 。 以 现在 的 安全 技术 来 说 ,对 于 PHP 安全 开发 
问题 的 建议 是 : 尽量 依据 编码 规范 进行 安全 编码 ,以 减少 可 能 出 现 的 漏洞 ;对 于 数据 安全 
要 求 高 的 业务 应 尽量 避免 使 用 PHP 开发 。 


5 2 PHP 常见 安全 漏洞 


521 会 话 攻 击 


1 会 话 攻 击 的 原理 

会 话 攻 击 是 攻击 者 最 常用 的 攻击 手段 之 一 。 当 客户 端的 浏览 副 连 接 到 服务 右 后 , 服 
务 船 会 给 该 客户 端 用 户 生 成 一 个 独立 的 会 话 (session) ,然后 交 与 服务 符 进 行 管 理 和 维 
护 ,相当 于 每 个 用 户 对 应 一 个 服务 需 的 身份 ID, 称 为 会 话 ID(session ID)。 当 用 户 发 送 
HTTP 请 求 时 ,HITP 头 内 将 包含 会 话 ID 的 值 ,服务 各 通过 HTTP 头 的 会 话 ID 但 判断 
用 户 的 请 求 , 这 样 可 以 省 去 在 转换 到 不 同 页 面 进行 身份 验证 时 重复 输入 用 户 名 和 密码 的 
厅 烦 。 但 这 种 方法 在 方便 用 户 的 同时 却 增加 了 很 多 安全 隐患 ,如 果 攻 击 者 能 够 获得 某 个 
用 户 在 对 个 网 站 的 会 话 ID 和 其 他 存储 在 会 话 内 的 重要 变量 ,就 可 以 在 此 会 话 ID 的 生命 
周期 内 使 用 该 用 户 的 权限 以 达到 自己 的 某 种 目的 。 一 个 会 话 的 生命 周期 是 从 用 户 通过 浏 
贤 盘 连接 到 服务 各 后 开始 的 ,在 用 尸 关 团 济 览 磅 、 从 网 站 注销 或 者 在 20min 内 没有 进行 
任何 操作 后 结束 。 

与 会 放 有 关 的 攻击 主要 分 为 两 种 ，。 

第 一 种 是 会 话 固定 攻击 (session fixation) 。 这 种 攻击 方式 的 核心 要 点 是 让 合法 用 户 
使 用 攻击 者 预先 设 定 的 会 话 ID 来 访问 被 攻击 的 应 用 程序 ,一 旦 用 户 的 会 话 ID 被 成 功 固 
定 ,攻击 者 就 可 以 通过 此 会 话 ID 来 冒充 合法 用 户 访问 应 用 程序 。 

会 话 固定 攻击 的 应 用 场景 如 下 : 

(1) 攻击 者 访问 网 站 http;://www. abc. com, 获 取 他 目 己 的 会 话 ID, 如 SID 王 123。 

(2) 攻击 者 给 目标 用 户 发 送 链接 ,并 市 上 目 己 的 会 话 ID ,如 http://www. abc. com/? 
SID 王 123。 

(3) 目标 用 户 总 击 了 http://www. abc. com/?SID 二 123 后 , 像 往 和 常 一 样 ,输入 日 已 
的 用 户 名 密码 ,登录 到 网 站 。 

(4) 由 于 服务 靛 的 会 话 ID 不 改变 , 则 现在 攻击 者 点 击 http://www. bank. com/? 
SID 二 123 时 ,他 就 拥有 了 目标 用 户 的 号 份 。 

第 二 种 津 见 的 会 话 攻 击 是 会 话 劫持。 攻击 者 通过 各 种 攻击 手段 获取 用 户 的 会 话 ID， 
然后 利用 被 攻击 用 户 的 身份 登录 相应 网 站 。 

攻击 者 获取 用 户 的 会 话 ID 的 方法 有 很 多 ,下 面 是 最 常用 的 3 种 方法 。 第 一 种 方法 是 
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暴力 获取 ,攻击 者 可 以 无 数 次 猜测 和 尝试 ,直到 蒙 对 会 话 ID 为止, 但 由 于 一 般 ID 都 是 随 
机 产生 的 ,这 种 方法 耗 时 耗 力 , 因 此 很 少 使 用 ;第 二 种 方法 是 通过 计算 获取 ,需要 攻击 者 进 
行 大 量 的 逻辑 分 析 和 运算 ,因此 这 种 方法 也 会 耗费 大 量 时 间 和 精力 ;第 三 种 方法 是 绝 大 多 
数 攻击 者 使 用 的 方法 , 即 通 过 网 络 截 获 、 安 装 病 毒 或 者 利用 跟 站 脚本 攻击 获得 用 户 的 会 
话 ID。 


2 会 话 攻 击 的 防 沁 措施 

对 于 会 话 攻 击 ,通常 用 以 下 几 种 方法 进行 防范 : 

(1) 定期 更 换 会 话 ID ,可 以 用 PHP 自 带 函数 实现 这 一 点 。 

(2) 更 换 会 话 名 称 。 通 常情 况 下 会 话 的 默认 名 称 是 PHPSESSID, 这 个 变量 一 般 是 在 
Cookie 中 保存 的 。 如 果 更 改 了 会 话 的 名 称 ,攻击 者 将 不 容易 找到 会 话 的 存储 地 点 ,就 可 
以 阻止 攻击 者 的 一 部 分 攻击 。 

(3) 对 透明 化 的 会 话 ID 进行 关闭 处 理 。 透 明 化 是 指 在 HTTP 请 求 中 没有 使 用 
Cookie 来 指定 会 话 ID 时 ,会 话 ID 使 用 链接 来 传递 。 关 闭 透 明 化 会 话 ID 可 以 通过 修改 
PHP. ini 文件 中 的 相关 配置 来 实现 。 

(4) 通过 URL 传递 隐藏 参数 。 这 样 ,即使 攻击 者 获取 了 会 话 数据 ,但 是 由 于 相关 参 
数 是 隐藏 的 ,攻击 者 也 很 难 获得 会 话 ID。 

(5) 设置 HttpOnly。 将 Cookie 的 HttpOnly 设置 为 true, 可 以 防止 客户 病 脚 本 访问 
Cookie, 从 而 有 效 地 防止 XSS 攻击 。 


522 命令 注入 攻击 


1 命令 注入 攻击 原理 

命令 注入 (command injection) 漏 洞 是 PHP 应 用 程序 中 常见 的 脚本 漏洞 之 一 ,是 指 攻 
击 者 可 以 通过 构造 特殊 命令 字符 串 的 方式 将 数据 提交 至 Web 应 用 程序 中 ,并 利用 该 方式 
执行 外 部 程序 或 系统 命令 以 实施 攻击 ,非法 获取 数据 或 者 网 络 资源 等 。 命 令 注 入 漏洞 的 
存在 十 分 广泛 ,国内 许多 著名 的 PHP 应 用 程序 ,如 Discuzl ,dedecms 等 均 被 发 现存 在 命 
令 注 入 攻击 漏洞 。 攻 击 者 可 以 通过 命令 注 和 人 攻击 漏洞 快速 获取 网 站 权限 ,进而 实施 挂 马 、 
钓鱼 等 恶意 攻击 ,造成 巨大 的 影响 和 危害。 

命令 注入 攻击 最 初 被 称 为 Shell 命令 注入 攻击 ,是 由 挪威 一 名 程序 员 在 1997 年 意外 
发 现 的 ,他 通过 构造 命令 字符 串 的 方式 从 一 个 网 站 删除 了 网 页 ,进行 了 命令 注入 攻击 。 使 
用 系统 命令 是 一 项 危险 的 操作 ,尤其 在 程序 设计 人 员 试 图 使 用 远程 数据 来 构造 要 执行 的 
命令 时 ,如 果 使 用 了 被 污染 的 远程 数据 ,命令 注入 漏洞 就 产生 了 。 命令 注 入 漏洞 存在 的 主 
要 原因 是 程序 设计 人 员 在 应 用 PHP 语言 中 一 些 具 有 命令 执行 功能 的 函数 时 ,对 用 户 提 
交 的 数据 内 容 没 有 进行 严格 的 过 滤 就 带 人 函数 中 执行 而 造成 的 。 例 如 , 当 攻 击 者 提交 的 
数据 内 容 为 回 网 站 目录 写 和 人 PHP 文件 时 ,就 可 以 通过 该 命令 注入 攻击 漏洞 写 人 一 个 
PHP 后 门 文件 ,进而 实施 进一步 的 渗透 攻击 。 

在 PHP 中 ,可 以 用 以 下 4 个 命令 执行 函数 和 一 个 运算 符 执 行 外 部 程序 或 函数 ; 

(1) system()。 该 函数 可 以 用 来 执行 一 个 外 部 的 应 用 程序 并 将 相应 的 执行 结果 输 
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出 ,图 数 原 型 如 下 : 
string system(string camand, int &return var) 


其 中 ,command 是 要 执行 的 命令 ,return_var 存放 执行 命令 后 的 状态 值 。 
(2) exec()。 该 图 数 可 以 用 来 执行 一 个 外 部 的 应 用 程序 ,图 数 原 型 如 下 : 


string exec (string camand, array toutput, int &retum var) 


其 中 ,command 是 要 执行 的 命令 ,output 存放 命令 输出 的 每 一 行 字 符 串 ,return_var 存放 
执行 命令 后 的 状态 值 。 

(3) passthru()。 该 函数 可 以 用 来 执行 一 个 UNIX 系统 命令 并 显示 原始 的 输出 , 当 
UNIX 系统 命令 的 输出 是 二 进 制 的 数据 ,并 且 需 要 和 直接 人 返回 值 给 浏览 右 时 ,需要 使 用 
passthru() 图 数 来 代 蔡 system() 与 exec() 函 数 。passthru() 函 数 原型 如 下 : 


vold passthml(string camand, int tretum var) 


其 中 ,command 是 要 执行 的 命令 ,return_var 存放 执行 命令 后 的 状态 值 。 
(4) shell exec()。 该 图 数 执行 shell 命令 并 返回 输出 的 字符 串 ,图 数 原 型 如 下 : 


string shell exec (string camand) 


其 中 ,command 是 要 执行 的 命令 。 

(5) “运算 符 。 与 shell_exec() 函 数 的 功能 相同 ,执行 shell 命令 并 返回 输出 的 字 
付 串 。 

2 命令 注入 攻击 的 防范 方法 

由 于 目前 PHP 语言 三 沁 应 用 于 Web 应 用 程序 开发 , Web 应 用 程序 设计 人 员 需 要 了 了 
解 命令 注入 攻击 漏洞 的 危害 ,修补 程序 中 可 能 存在 的 被 攻击 者 利用 的 漏洞 ,保护 网 络 用 户 
的 安全 ,使 网 站 免 党 挂 马 .钓鱼 等 恶意 代码 的 攻击 。 通 稼 程序 设计 人 员 可 以 通过 以 下 几 种 
方法 防范 命令 注入 攻击 : 

(1) 尽量 不 要 执行 外 部 的 应 用 程序 或 命令 。 

(2) 使 用 目 定义 图 数 或 图 数 库 实 现 外 部 应 用 程序 或 命令 的 功能 。 

(3) 在 执行 system() 等 命令 执行 函数 前 ,要 确定 参数 内 容 。 

(4) 使 用 escapeshellarg0O 〇 函数 处 理 相关 参数 。 该 函数 会 将 任何 引起 参数 或 命令 结 
束 的 字符 进行 转 义 ,如 单 引 号 ”会 被 转 义 为 “”, 双 引号 “"” 会 被 转 义 为 “^"”, 分 号 ”;” 会 
被 转 义 为 “\;”, 这 样 escapeshellarg() 函 数 会 将 参数 内 容 限 制 在 一 对 单 引号 或 双 引 号 中 ， 
转 义 后 的 单 引 号 或 双 引 号 无 法 截断 当前 命令 的 执行 ,达到 了 防范 命令 注入 攻击 的 目的 。 

523 客 亡 端 脚本 注入 攻击 

1 客户 端 脚本 注入 攻击 原理 

客户 只 脚本 注入 攻击 是 指 攻 击 者 将 可 执行 的 脚本 捅 和 人 表单 .图片 .动画 或 超 链 接 文 字 
等 对 象 内 , 当 用 户 留 言 或 者 打开 这 些 对 象 后 ,浏览 硕 将 执行 攻击 者 所 植 人 的 恶意 脚本 , 通 
过 使 用 户 自动 跳 转 到 一 些 攻击 者 恶意 构造 的 网 站 等 行为 实施 攻击 。 此 漏洞 在 以 前 的 
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PHP 网 站 中 经 常 存在 ,但 随 着 PHP 版 本 的 升级 ,这 些 问 题 已 经 慢 慢 减少 。 

可 以 用 于 脚本 植 人 的 HTML 标签 一 般 包 括 以 下 几 种 ， 

(1) 二 script 广 标签 标记 的 JavaScript 和 和 VBScript 等 页 面 脚本 程序 。 在 一 script 二 标 
签 内 可 以 指定 JavaScript 程序 代码 ,也 可 以 在 src 属性 内 指定 JavaScript 文件 的 URL 
路 径 。 

(2) 二 object 二 标签 标记 的 对 象 。 这 些 对 象 是 Java Applet `. 多 媒体 文件 和 ActiveX 控 
件 等 。 通常 在 data 属性 内 指定 对 象 的 URL 路 径 。 

(3) 二 embed 放 标签 标记 的 对 象 。 这 些 对 象 是 多 媒体 文件 ,例如 swf 文件 。 通 常 在 
src 属性 内 指定 对 象 的 URL 路 答 。 

(4) 过 applet 二 标签 标记 的 对 象 。 这 些 对 象 是 Java Applet ,通常 在 codebase 属性 内 
指定 对 象 的 URL 路 径 。 

(5) 二 form 记 标签 标记 的 对 象 。 通 常 在 action 属性 内 指定 要 处 理 表单 数据 的 Web 
应 用 程序 的 URL 路 径 。 

客户 问 脚 本 注入 攻击 的 步骤 如 图 5-1 所 示 。 具 体 如 下 : 

(1) 攻击 者 在 注册 成 普通 用 户 后 ,登录 网 站 。 

(2) 打开 留言 外面 ,插入 用 来 进行 攻击 的 JavaScript 代码 。 

(3) 其 他 用 户 (包括 管 理 员 ) 登 录 网 站 ,浏览 此 留言 的 内 容 。 

(4) 隐藏 在 留言 内 容 中 的 JavaScript 代码 被 执行 ,攻击 被 发 动 。 


有 | () 登录 网 站 





攻击 者 





图 5-1 客户 端 脚本 注 人 攻击 步骤 


2 客户 端 脚本 注入 攻击 的 防范 方法 

攻击 者 利用 客户 闯 脚 本 注入 独 洞 进行 攻击 的 手段 是 灵活 多 变 的 ,因此 需要 采取 多 种 
防范 方法 ,才能 有 效 防 止 攻击 者 对 脚本 注 和 漏洞 进行 攻击 。 稼 用 的 方法 如 下 : 

(1) 对 可 执行 文件 的 路 径 进 行 预 完 设 定 。 可 以 通过 设置 安全 模式 safe_moade_exec_dir 
来 实现 。 如 果 PHP 使 用 了 安全 模式 ,system() 和 其 他 程序 执行 函数 将 拒绝 启动 不 在 此 
目录 中 的 程序 ,必须 使 用 /作为 目录 分 阳 稚 。 
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(2) 对 命令 参数 进行 处 理 , 一 般 使 用 htmlspecialchars() 图 数 来 将 特殊 字符 转换 成 
HTML 编码 。 

(3) 用 系统 自沉 的 函数 库 代 替 外 部 命令 。 

(4) 进行 系统 操作 的 时 候 尽 可 能 不 使 用 外 部 命令 。 


524 变量 窗 盖 漏洞 


1 常见 的 变量 覆盖 漏洞 

变量 履 盖 漏洞 是 指 用 传人 的 参数 值 蔡 换 程序 原 有 的 变量 值 的 情况 。 一 般 变 量 履 盖 漏 
洞 需 要 第 合 程序 的 其 他 功能 实现 完整 的 攻击 。 经 第 导致 变量 窗 曾 源 润 的 场 只 有 : 全 局 变 
量 注册 未 关闭 ,$ $ 遇 历 初 始 化 变量 ,extract() 图 数 、parse_str() 图 数 和 import request _ 
variables() 图 数 使 用 不 当 ,等 等 。 

1) 全 局 变量 独 洞 

PHP 中 的 全 局 变量 不 像 其 他 开发 语言 一 样 需要 预 抑 声明 ,而 是 可 以 二 接 使 用 ,PHP 
会 在 第 一 次 使 用 时 自动 创建 变量 ,并 根据 上 下 文 环境 自动 确定 变量 的 类 型 。 这 对 于 程序 
设计 人 员 而 言 是 十 分 方便 的 ,因为 只 要 一 个 变量 被 创建 ,就 可 以 在 程序 中 的 任何 地 方 使 
用 。 但 PHP 的 这 种 特性 也 导致 程序 员 在 编写 PHP 程序 的 过 程 中 很 少 初始 化 变量 ,通常 
直接 使 用 变量 被 创建 时 默认 的 空 值 ,这 使 得 攻击 者 可 以 通过 给 全 局 变量 赋值 来 欺骗 代码 ， 
达到 其 恶意 的 目的 。 

register_globals 是 PHP 中 的 一 个 控制 选项 ,其 意思 是 注册 为 全 局 变量 。 当 其 状态 
是 on( 开 局) 的 时 候 , 传 递 过 来 的 值 会 被 百 接 注 册 为 全 局 变量 ,如 采 该 变量 在 此 之 前 有 但 ， 
这 个 值 会 被 上 覆 关 ,因此 变量 的 register_globals 选项 应 时 刻 保持 off( 关 闭 ) 状 态 , 以 防止 攻 
击 者 亚 意 传递 参数 值 , 履 盖 系 统 变 量 。register_globals 选项 在 PHP 4 及 以 前 版 本 默认 开 
启 , 在 PHP 5 ne nln 

2) $$ 遍历 初 妨 化 变量 问 

使 用 err 会 将 获取 的 数组 的 键 名 作为 变量 ,将 数组 的 刍 
值 作为 变量 的 值 , 因 此 就 产生 了 变量 履 凑 漏洞 。 请 求 ?id=1 会 将 $1d 的 值 履 冀 , 使 得 
$ id=1。 

3) extract() 变 量 履 新 

extract() 图 数 从 数组 中 将 变量 村 入 当前 的 全 号 表 , 使 用 数组 健 名 作为 变量 名 ,使 用 数 
组 的 键 值 作为 变量 值 ,针对 数组 中 的 每 个 元 素 在 当前 符号 表 中 创建 一 个 对 应 的 变量 。 该 
图 数 在 以 下 3 种 情况 下 会 覆盖 已 有 变量 的 值 : 

(1) 当 第 二 个 参数 为 EXTR_OVERWRITE 时 。 这 表示 如 果 有 冲突 , 则 覆盖 已 有 的 
变量 的 值 。 

(2) 当 只 传人 第 一 个 参数 时 。 这 时 候 默 认为 EXTR_OVERWRITE 模式 。 

(3) 当 第 二 个 参数 为 EXTR_IF_EXISTS 时 。 这 表示 仅 在 当前 符号 表 中 存在 同名 变 
量 时 瞻 兰 它们 的 值 。 

4) parse_str() 变 量 履 兰 

parse_str() 芳 数 的 作用 是 解析 字符 串 并 将 其 注册 为 变量 。parse_str() 函数 有 两 个 参数 . 
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第 一 个 参数 代表 要 解析 并 注册 为 变量 的 字符 串 ;第 二 个 参数 是 一 个 数组 ,注册 的 变量 会 放 到 
这 个 数组 里 。 如 果 没 有 第 二 个 参数 , 则 由 该 函数 设置 的 变量 将 履 盖 已 存在 的 同名 变量 。 

5) import request_variables() 变 量 履 关 

import_request_variables() 函数 的 作用 是 把 GET、POST 和 COOKIE 的 参数 注册 为 变量 ， 
该 功能 用 在 register_globals 为 off 的 时 候 。 不 过 ,这 个 函数 在 PHP 5.4 之 后 就 被 取消 了 。 

import_request_variables() 尔 数 有 两 个 参数 ; 第 一 个 参数 代表 要 注册 的 变量 ,其 中 
GP.C 分 别 代表 GET、POST、COOKIE; 第 二 个 参数 为 要 注册 的 变量 前 级 。import_ 
request_variables() 图 数 可 以 在 register_global 为 off 时 将 GET、POST、COOKIE 变量 导 
和 人 全 局 作用 域 中 。 

2 变量 覆盖 漏洞 的 防 沁 万 法 

对 于 PHP 的 变量 履 盖 源 洞 问题 ,通常 末 用 以 下 的 防范 方法 : 

(1) 使 用 原始 变量 数组 。 建 议 二 接 用 原始 的 变量 数组 (如 $_POST、$_GET 等 ) 进 
行 操 作 ,避免 使 用 变量 注册 功能 。 

(2) 验证 变量 是 人 否 存 在 。 注 册 变 量 前 ,和 完 判断 变量 是 耕 存 在 。 使 用 extract() 图 数 时 
可 以 配置 第 二 个 参数 为 EXTR_SKIP。 自 行 创建 的 变量 一 定 要 初始 化 。 


525 人 危险 溺 数 

为 了 系统 的 安全 起 见 , 常 在 程序 设计 时 禁用 一 些 PHP 危险 函数 。 具 体 如 下 : 

Phpinfo () 

功能 描述 : 输出 PHP 环境 信息 以 及 相关 的 模块 .Web 环境 等 信息 。 

危险 等 级 : 中 。 

passthrul() 

功能 描述 ; 允许 执行 一 个 外 部 程序 并 回 显 输出 ,类似 于 exec() 。 

危险 等 级 : 高 。 

exec () 

功能 描述 ; 允许 执行 一 个 外 部 程序 (如 UNIX Shell 或 CMD 命令 等 )。 

危险 等 级 : 高 。 

system!() 

功能 摘 述 ; 允许 执行 一 个 外 部 程序 并 回 显 输出 ,类似 于 passthru( ) 。 

危险 等 级 , 高 。 

chroot () 

功能 描述 ; 可 改变 当前 PHP 进程 的 工作 根 目 录 , 仅 当 系 统 支 持 CLI 模式 的 PHP 时 
才能 工作 , 且 该 图 数 不 适 用 于 Windows 系统 。 

危险 等 级 : 高 。 
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scandir () 


功能 摘 述 ， 
危险 等 级 : 


chgrp() 


功能 描述 . 


chown () 


功能 摘 述 : 


shell exec() 


proc open() 


功能 摘 述 : 


列 出 指定 路 径 中 的 文件 和 目录 。 
ji 


改变 文件 或 目录 所 属 的 用 户 组 。 


Ia] o 


改变 文件 或 目录 的 所 有 者 。 


[Ia 。 


通过 shell 执行 命令 ,并 将 执行 结果 作为 字符 串 返 回 。 


王 ] 
[a] 。 


执行 一 个 命令 并 打开 文件 指针 用 于 读 取 以 及 写 人 。 


EF 
[Is] 。 


proc get status() 


功能 摘 述 ; 
危险 等 级 


error 10og'() 


功能 摘 述 : 


ini alter() 


危险 等 级 . 


ini set() 


功能 描述 ; 
ni Testore () 
功能 描述 


获取 使 用 proc open() 打 开 的 进程 的 信息 。 


二 二 
[Ia] 。 


将 错误 信息 发 送 到 指定 位 置 (文件 ) 。 
在 某 些 版 本 的 PHP 中 ,可 使 用 error log() 绕 过 PHP 安全 模式 ,执行 任意 


低 。 


它 是 ini_set() 函 数 的 一 个 别名 函数 ,两 者 功能 相同 。 具 体 参 见 ini_set()。 


ala 


可 用 于 修改 .设置 PHP 环境 配置 参数 。 


症 ] 。 


可 用 于 将 PHP 环境 配置 参数 恢复 为 初始 值 。 


EF 
[上 。 
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d (0 

功能 描述 : 在 PHP 运行 过 程 中 (而 非 启 动 时 ) 加 载 PHP 外 部 模块 。 

危险 等 级 : 高 。 

Ptsockcpen () 

功能 描述 ; 建立 一 个 Internet 或 UNIX 域 的 socket 持久 连接 。 

sys109() 

功能 描述 ; 可 调用 UNIX 系统 的 系统 层 syslog() 国 数 。 

readlink() 

功能 摘 述 : 返回 符 扎 连接 指 回 的 目标 文件 内 容 。 

symlink() 

功能 描述 ; 在 UNIX 系统 中 建立 一 个 符号 链接 。 

危险 等 级 ; 高 。 

popan() 

功能 描述 : 可 通过 该 函数 的 参数 传递 一 条 命令 ,并 执行 该 函数 打开 的 文件 。 

危险 每 级 , 高 。 

stream socket server |) 

功能 描述 : 建立 一 个 Internet 或 UNIX 服务 需 连 接 。 

putenv () 

功能 摘 述 : 用 于 在 PHP 运行 时 改变 系统 字 和 付 集 环境 。 在 低 于 5. 2.6 版 本 的 PHP 
中 ,可 利用 该 函数 修改 系统 字符 集 环境 ,然后 利用 sendmail 指令 发 送 特殊 参数 ,执行 系统 
shell 命令 。 


危险 等 级 : 高 。 
Ee PHP 安全 编码 规 泄 


当 一 个 软件 项 目 答 试 制定 一 致 的 编码 规范 时 ,可 以 使 参与 项 目的 开发 人 员 更 容易 了 
解 项 目 中 的 代码 , 卉 清 程序 的 状况 ,使 新 的 参与 者 可 以 很 快 地 适应 环境 ,防止 部 分 参与 者 
为 了 节省 时 间 而 目 创 一 套 风 格 , 叶 致 其 他 项 目 人 员 在 阅读 程序 时 浪费 过 多 的 时 间 和 精力 。 
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而 且 在 编码 规范 一 致 的 环境 下 ,也 会 减少 编码 出 错 的 机 会 。 虽 然 由 于 每 个 人 的 编码 习惯 
不 同 ,可 能 需要 一 段 时 间 来 适应 和 改变 目 己 的 编码 风格 ,暂时 降低 了 工作 效率 ,但 从 项 目 
长 远 健康 的 发 展 以 及 后 期 更 高 的 团队 工作 效率 来 考虑 ,暂时 的 工作 效率 降低 是 值得 的 ,也 
是 必须 经 过 的 一 个 过 程 。 编 码 规范 虽然 并 不 是 项 目 成 功 的 关键 ,但 可 以 带 助 项 目 人 员 在 
团队 协作 中 有 更 高 的 效率 ,更 加 须 利 地 完成 既定 任务 。 

制定 统一 的 编码 规范 对 于 项 目 开发 来 说 非 党 重要。 下面 是 PHP 开发 中 常用 的 编码 
规范 。 丈 悉 并 齐 守 这 些 编码 规范 ,不 但 可 以 使 程序 员 养 成 尺 好 的 开发 习惯 ,增强 程序 的 可 
谈 性 .可 移植 性 和 可 重用 性 ,还 能 提高 项 目 开 发 效率 。 


531 语言 规范 


1 探 制 结构 使 用 规 

对 于 控制 结构 if-else、switch、for、while 等 的 使 用 应 订 循 以 下 规范 : 

(1) 在 二 条 件 判 断 中 ,如 采用 到 第 量 判 断 条 件 , 将 第 量 放 在 等 号 或 不 等 号 的 左边 , 例 
如 : ff (6 二 二 $errorNum) ,这 梓 , 当 程序 员 在 等 式 中 源 了 一 个 每 号 时 , 博 法 检查 各 将 会 报 
销 , 可 以 帮助 程序 员 很 快 找到 错误 位 置 。 

(2) 在 switch 结构 中 必须 有 default 块 。 

(3) 在 for 和 while 的 循环 中 ,要 仔细 检查 continue ,break 语句 的 使 用 ,避免 产生 类 
似 goto 语句 的 问题 。 


2 类 的 构 返 沙 数 

如 有 果 要 在 类 中 编写 构造 函数 ,必须 遵循 以 下 规范 : 

(1) 不 能 在 构造 图 数 中 加 入 大 多 实际 操作 ,构造 图 数 应 主要 用 来 初始 化 一 些 全 和 
过 和 量 。 

(2) 不 能 在 构造 函数 中 因为 实际 操作 而 返回 false 或 者 错误 ,这 是 因为 在 声明 和 实例 
化 一 个 对 象 的 时 候 是 不 能 返回 钳 放 的。 

3 truefase 和 01 判 断 的 书写 规范 

(1) 不 能 使 用 0/1 代替 true/false, 因 为 在 PHP 中 这 两 种 形式 是 不 同 的 。 

(2) 不 要 使 用 非 零 的 表达 陈 .变量 或 者 方法 百 接 进行 true/false 判断 ,而 必须 使 用 严 
格 的 、 完 整 的 true/false 判断 。 例 如 ,不 要 使 用 1:f ($a) 或 者 if (check()), 而 要 使 用 if 
(false ! 二 $a) 或 者 if (false !== checkO)), 


4 避免 散 入 式 赋值 
在 程序 中 避免 下 面 例子 中 的 能 和 人 陈 赋 但 : 


六 


while ($a I!= (3c = getchar())) 
{ 
//process the character 
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en 
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5 错误 处 理 规范 

对 于 系统 错误 信息 ,应 注意 以 下 两 点 : 

(1) 检查 所 有 系统 调用 的 错误 信息 ,除非 想 要 忽略 错误 。 

(2) 为 每 条 系统 错误 信息 定义 系统 错误 文本 ,并 记录 错误 日 志 。 


每 个 程序 都 应 该 提供 必要 的 注释 。 书 写 注 释 要 求 规范 严谨 ,为 今后 利用 phpDoc 生 
成 PHP 文档 做 准备 。 与 此 同时 ,规范 严谨 的 注释 能 够 所 高 代码 审查 的 效率 ,有 利于 安全 
漏洞 的 发 现 和 修复 。 程 序 注释 的 总 体 原则 如 下 : 

(1) 注释 中 除了 文件 头 的 注释 块 外 ,其 他 地 方 都 不 使 用 /7 注释, 而 使 用 /* x /注释 。 

(2) 注释 内 容 必 须 与 在 被 注释 对 象 的 前 面 , 而 不 应 与 在 一 行 中 或 者 一 行 的 后 面 。 


在 每 个 程序 的 头 部 必须 有 统一 的 注释 块 , 其 注释 规范 如 下 : 
(1) 必须 包含 本 程序 的 描述 。 

(2) 必须 包含 作者 。 

(3) 必须 包含 编写 日 期 。 

(4) 必须 包含 版 本 信息 。 

(5) 必须 包含 项 目 名 称 。 

(6) 必须 包含 文件 的 名 称 。 

(7) 重要 的 使 用 说 明 , 如 类 的 调用 方法 .注意 事项 等 。 
参考 例子 如 下 : 


| 上 一 


ha 


Oo sj EGG U 业 LU 


Thnas source file 1s subject to of the PHP license, 
that 1s bundled with this packafile LICENSE, and 1s 
avallable at through the world-web at 
nttp://www.php.net/license/2 82.txt. 

If you did not receive a copy of the and are unable to 
obtain it through the world-wide-web,end a note to 
licensefiphp.net so we can mall you a immediately. 


Authors: Stig Bakken <ssb@fast.no> 
Tomas V.V.Cox <coxfidecnet .com> 





2 类 的 注释 
类 的 注释 应 写 在 类 的 前 面 ,采用 下 面 的 例子 中 的 注释 方式 : 
103 





@Pur pose: 
* 执行 一 次 查询 
”人 Metnod Name: Query ) 


4 记 入 局 二 出 = 


ie 有 eg = "Es ly — 
* BParam: string $querystr SQL 合 仙子 导 串 
* @Param: string $username 用 厂 广 


本 和 Author : Michael Lee 
本 吕 太 和 和 E 辐 骨 了 引力 全 了、 
* @Return: mixed 生体 志 回 仁 (当时 集 对 荨 ) 


function ($queryStr, $username) 


Ei 


3 明 数 和 万 法 的 注释 


图 数 和 方法 的 注释 应 与 在 图 数 和 方法 的 前 面 , 采 用 下 面 的 例 于 中 的 注释 方式 : 


' 它 
二 i 


i eae Queryt | 


@Param: string $querystr SQL 得 得 间 字 人 符 富 
* 血 Param: string $username 用 户 名 


* BAuthor: Michael Lee 


* @Return: mixed 重 询 公 回 慎 (结果 健 对 草 ) 
这 下 


function ($queryStr, $username) 





4 变量 或 者 语句 注释 规 汇 
(1) 变量 或 者 语句 注释 写 在 上 面 一 行 ,而 不 写 在 变量 或 者 语句 的 同一 行 或 者 该 行 的 后 面 。 
(2) 注释 采用 /x x /的 方式 。 
(3) 每 个 因数 前 面 要 包含 一 个 注释 块 ,内 容 包括 函数 功能 简 述 .输入 输出 参数 、 预 期 





的 返回 值 和 出 错 代 码 定义 。 


(4) 注释 应 完整 . 规 沁 。 
(5) 把 已 经 注释 掉 的 代码 删除 ,或 者 注 明 这 些 已 经 注释 掉 的 代码 仍然 保留 在 源码 中 


的 特殊 原因 


104 


变量 注释 的 例子 如下: 


/六 站 

本 @Purpose: 

* 数据 库 连 接 用 户 名 

* @Attribute/Variable Name: db user name 
* @Type: string 

*/ 

Var db user name: 


533 项 目 规范 


1 PP 项 目 通 钊 的 文件 目录 结构 
建议 在 开发 规范 的 、 独 立 的 PHP 项 目 时 ,使 用 规范 的 文件 目录 结构 ,这 有 助 于 提高 


项 目的 逻辑 绪 构 合理 性 ,对 于 扩展 和 合作 以 及 团队 开发 均 有 好 处 。 
一 个 完整 独立 的 PHP 项目 通常 的 文件 和 目录 结构 如 下 . 
/: 项 目 根 目录 。 
/manage: 后 台 管 理 文件 存放 目录 。 
/css: CSS 文件 存放 目录 。 
/doc: 存放 项 目 文档 。 
/images: 所 有 图 片 文件 存放 目录 (在 其 中 根据 需要 设立 子 目 录 ) 。 
/scripts: 客户 顺 JavaScript 脚本 存放 目录 。 
/tpl: 网 站 所 有 HTML 的 模板 文件 存放 目录 。 
/error. php: 错误 处 理 文件 (可 以 定义 到 Apache 的 错误 处 理 中 ) 。 
以 上 是 PHP 项 目 通 常 的 目录 结构 ,根据 具体 应 用 的 实际 情况 ,不 一 定 完 全 遵循 这 个 
目录 结构 ,但 是 应 尽量 做 到 规范 化 。 


2 HP 和 HIML 代 码 的 分 离 问 题 

对 性 能 要 求 不 是 很 高 的 项 目 和 应 用 ,建议 不 采用 PHP 和 HTML 代码 混 排 的 方式 书 
写 代码 ,而 采用 PHP 和 HTML 代码 分 离 的 方式 , 即 采 用 模板 的 方式 处 理 。 这 样 不 仅 使 
程序 逻辑 结构 更 加 清晰 ,也 有 助 于 开发 过 程 中 人 员 的 分 工 安排 ,同时 还 对 日 后 项 目的 页 面 


升级 改版 提供 了 更 多 便利 。 
对 于 一 些 特殊 情况 ,例如 对 性 能 要 求 很 高 的 应 用 ,可 以 不 有 来 用 模板 方式 。 
3 PP 项 目 开 发 中 的 程序 逻辑 结构 


对 于 PHP 项 目 开 发 中 的 程序 逻辑 结构 ,应 遵循 以 下 规范 : 

(1) 对 于 PHP 项 目 开 发 ,尽量 采用 面向 对 象 的 思想 开发 。PHP 5 及 以 后 版 本 在 面 问 
对 象 的 开发 功能 方面 大 有 提高 。 

(2) 在 PHP 项 目 中 ,建议 将 独立 的 功能 模块 尽量 写成 函数 调用 。 对 于 一 整 块 业务 好 
辑 ,建议 封装 成 类 , 既 可 以 提高 代码 可 读 性 ,也 可 以 提高 代码 重用 性 。 例 如 ,通常 将 对 数据 
库 的 接口 封装 成 数据 库 类 ,有 利于 平台 的 移植 。 

(3) 重复 的 代码 要 做 成 公共 的 库 ( 插 件 产品 除外 。 插 件 产品 系列 有 多 个 相似 的 产品 ， 
为 了 尽 可 能 地 减 小 安装 包 尺 寸 ,不 适合 将 这 些 产品 共用 的 所 有 函数 做 成 公共 的 库 ) 。 


534 特殊 规范 


1 变量 定义 

某 特定 开发 环境 下 的 PHP 代码 编写 规范 要 求 所 有 的 变量 均 需 要 先 声 明 后 使 用 ,人 否 
则 会 有 错误 信息 。 对 于 数组 ,在 使 用 一 个 不 确定 的 key 时 ,应 先进 行 isset() 的 判断 ,然后 
再 使 用 ,例如 : 

sarray =array(); 

svar = isset ($array[3]) ?sarray[3] : ™; 
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2 引用 的 使 用 

引用 在 程序 中 使 用 得 比较 多 。 引 用 共用 同一 个 内 存 区 域 , 而 不 需要 为 外 进行 复制 。 
某 特 定 开 发 环境 下 使 用 引用 时 ,需要 注意 下 面 的 情况 。 

在 函数 的 输入 参数 中 使 用 引用 时 ,不 能 在 调用 的 时 候 在 输入 参数 前 加 忌 来 引用 ,直接 
使 用 该 变量 即 可 ,同时 必须 在 图 数 定义 的 时 候 说 明 输 入 参数 来 自 引 用 ,例如 下 面 的 代码 





此 时 $a 和 $b 都 是 2。 

某 特 定 开发 环境 下 对 引用 的 特殊 要 求 源 目 php. ini 文件 中 allow_call_time_pass_ 
reference 项 设置 ,其 对 外 公开 的 版 本 是 on, 这 样 就 可 以 支持 在 调用 限 数 时 将 & 直接 加 到 
变量 前 面 进行 引用 ,但 是 这 一 方法 在 将 来 版 本 的 PHP/Zend 里 可 能 不 再 文 持 , 因 此 程序 
员 最 好 关闭 这 一 选项 (使 用 off, 在 此 特定 的 所 有 运行 环境 下 都 是 off) ,并 确认 脚本 仍 能 正 
党 工作 ,以 保证 在 将 来 版 本 的 PHP 中 它们 仍 能 工作 。 


3 变量 的 输入 输出 

在 某 特 定 开发 环境 下 ,对 Web 应 用 程序 通过 GET 或 者 POST 方法 传递 来 的 参数 均 
要 求 进行 严格 的 过 滤 和 合法 性 验证 ,不 推荐 使 用 $_GET、$_POST 或 者 $_REQUEST 
下 接 获 取 , 而 应 通过 此 特定 环境 的 _yiv 模块 提供 的 方法 获取 和 过 滤 处 理 。 


535 配置 安全 


由 于 配置 不 当 引 发 的 安全 问题 大 见 不 鲜 。 通 过 一 系列 的 安全 配置 ,可 以 有 效 地 解决 
一 些 安全 隐患 ,从 而 为 系统 增加 安全 系数 。 


1 关闭 注册 全 局 变量 功能 

register_globals 的 功能 是 注册 全 局 变量 ,on 是 开启 ,off 是 关闭 。 在 开启 该 功能 后 会 
带 来 巨大 的 安全 隐患 ,所 以 建议 关闭 该 功能 。register_globals 在 PHP 4. 2.0 后 默认 为 
off。 如 采 根 据 需 求 需要 开局 该 功能 ,可 使 用 两 个 方法 进行 防御 : 一 个 是 初始 化 变量 ,为 一 
个 是 配置 最 高 预警 信息 。 

安全 隐患 举例 . 


< ?Php 
if(!epty($ COCKIE[' secret '])) 
{ $authorized =true; } 
if (sauthorized) { 
“f/fdo some authoraticn action 
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在 上 面 的 代码 中 ,大 没有 通过 Cookie 认证 ,那么 $authorized 将 一 下 为 假 , 就 无 法 被 
认证 。 但 是 如 果 register _globals 为 on, 那 么 在 URL 中 就 可 以 修改 get 参数 ,将 
$ authorized 注册 为 全 局 变量 ,并 修改 它 的 值 为 真 , 例如 http://xxx/test. php? 
authorized 王 1 ,这 样 就 能 够 绕 过 Cookie 认证 。 


2 配置 稍 误 信息 

在 攻击 者 的 渗透 过 程 中 ,系统 错误 信息 的 其 露 给 攻击 者 提供 了 有 利 条 件 。 所 以 ,在 开 
发 过 程 中 ,可 开局 将 错误 信息 输出 到 训 览 硕 的 放置 ;但 是 在 程序 上 线 后 , 需 关 闭 错 误 信 息 
提示 。 可 以 关闭 浏览 各 显示 错误 提示 ,将 错误 提示 记录 a 到 本 地 日 记 中 。 这 些 可 以 在 php. 
ini 中 设置 ,也 可 以 在 PHP 程序 中 设置 。 

3 关闭 djow_uwl_indude 和 dow_ul_fopan 功 能 

allow_url_include 允许 加 载 还 程 PHP 文件 ,allow_url_fopen 允许 加 载 远 程 本 地 写 文 
件 。 这 两 个 功能 开启 后 带 来 的 安全 隐患 也 是 巨大 的 ,会 带 来 远程 文件 包含 漏洞 ,所 以 建议 
将 其 关闭 。 如 采 有 需求 ,应 对 外 来 变量 进行 过 滤 。 
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随 看 大 数据 和 云 计 算 的 发 展 ,Python 因 在 开发 大 型 和 复杂 应 用 程序 方面 的 便捷 性 而 
大 受 欢 迎 。 作 为 最 受 欢 迎 的 程序 设计 语言 之 一 ,Python 语 法 商 洁 ,代码 执行 快速 。 随 看 
Python 的 广 这 应 用 ,Python 的 安全 编程 规范 也 越 来 越 受 到 开发 人 员 的 重视 。 本 章 让 苑 
介绍 Python 开发 的 安全 现状 ;其 次 对 第 多 的 安全 漏洞 进行 分 析 , 并 提出 防范 措施 ;最 后 
介绍 Python 安全 编码 规范 ,以 指导 开发 人 员 进 行 安 全 编码 。 


前 Python 开发 安全 现状 


Python 是 一 种 面 丫 对 和 象 的 解释 型 计算 机 程序 设计 说 言 , 也 是 一 种 功能 强大 的 通用 型 
语 语 , 它 是 由 何 兰 人 Guido van Rossum 于 1989 年 发 明 的 。Python 硬 法 向 涪 消 晰 ,设计 
者 很 少 强调 传统 的 语法 ,因此 无 论 对 于 开发 人 员 还 是 普通 用 户 来 说 都 很 容易 使 用 。 

Python 是 一 个 面 回 企业 和 项 目的 基于 生产 的 语言 ,其 应 用 程序 可 以 在 绝 大 多 效 环 
卉 中 使 用 和 部 首 ,并且 不 会 随 平 台 变 化 而 损失 性 能 。Python 具有 丰 曙 和 强大 的 库 , 可 满 
足 多 种 开发 需求 ,因而 向 逐渐 广泛 应 用 于 各 种 领域 ,例如 系统 管理 任务 的 处 理 `.Web 应 用 
开发 . 果 面 应 用 程序 开发 .服务 华 部 署 .科学 建 模 等 。 开 发 人 员 在 深入 了 解 Python 之 后 ， 
束 能 具备 可 以 适应 范围 更 宪 的 工作 角色 的 技能 。 在 IEEE 发 布 的 2017 年 编程 语言 排行 
榜 中 ,Python 局 居 计 位 。 


1 Pytham 开 发 的 优点 

Python 开发 近 些 年 如 此 热门 的 原因 有 以 下 几 点 。 

1) 高 度 的 可 阅读 性 

作为 一 种 解释 型 语言 ,Python 更 强调 代码 的 可 读 性 和 语法 的 简洁 。Python 尽量 使 
用 其 他 语言 经 常 使 用 的 标点 符号 和 英文 单词 ,让 代码 看 起 来 整洁 美观 。 相 比 C++ 或 Java 
等 语言 ,Python 能 让 开发 者 用 更 少 的 代码 来 表达 想法 。 它 不 像 其 他 的 静态 语言 (如 C、 
Pascal) 那 样 需要 重复 书写 声明 语句 ,也 不 像 它 们 的 语法 那样 经 党 有 特殊 情况 和 意外 发 
生 。 不管 是 小 型 程序 还 是 大 型 程序 , Python 程序 的 结构 都 清晰 明了 。Python 的 这 种 特 
性 使 程序 设计 人 员 能 够 专注 于 解决 问题 而 非 表 现 语言 的 丰富 程度 。 采 用 强制 缩 进 的 方式 
使 得 代码 具有 极 佳 的 可 读 性 。 

2) 简单 易学 

在 众多 的 编程 语言 中 ,Python 是 最 容易 理解 和 学 习 的 编程 语言 之 一 ,这 是 由 于 它 在 
设计 的 时 候 对 语法 进行 了 简化 并 强调 了 自然 语言 风格 。Python 虽然 是 用 C 语言 编写 的 ， 
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但 是 它 拓 和 莽 了 C 声言 中 复杂 的 指针 ,这 样 ,程序 设计 人 员 束 能 够 更 快 地 编写 Python 代码 
并 执行 它 。 无 论 是 对 于 新 手 还 是 对 经 验 丰 宦 或 已 经 熟悉 Java、C 或 者 Perl 的 开发 人 员 来 
说 ,Python 都 十 分 简单 易学 。 

3) 丰富 全 面 的 库 

当 程 序 设 计 人 员 需 要 开发 庞大 的 项 目 时 ,全 面 强 大 的 库 资 源 可 以 帮助 程序 设计 人 员 
节省 时 间 和 缩短 开发 周期 。Python 以 PyPI 为 其 后 盾 , 有 丰富 的 标准 库 和 可 定义 的 第 三 
方 库 ,开发 人 员 想 从 事 任何 方向 的 技术 编程 ,几乎 都 能 在 Python 中 找到 相应 的 库 支 持 。 
这 些 库 中 的 模块 可 以 用 来 进行 数据 库 处 理 .计算 机 视觉 实现 .维度 分 析 等 高 级 数据 分 析 ， 
或 者 构建 REST 风格 的 Web 服务 。 它 可 以 帮助 程序 设计 人 员 处 理 各 种 工作 ,包括 正则 表 
达 式 文档 生成 单元 测试 线程 数据 库 、 网 页 浏览 右 、CGI、FTP、 电 子 邮 件 、XML、XMI- 
RPC、HTML、WAYV 文件 .密码 系统 .GUI( 图 形 用 户 界面 ) 和 其 他 与 系统 有 关 的 操作 ，。 

4) 开源 性 

Python 的 代码 均 是 开源 的 ,其 源 代 码 和 解释 硕 CPython 遵循 GPL (GNU General 
Public License,GNU 通用 公 其 许可 ) 协 以。 开发 人 员 可 以 目 由 地 复制 .阅读 Python 源 代 
码 , 对 其 进行 改动 ,或 将 源 代码 的 一 部 分 用 于 开发 的 新 软件 中 。 其 中 一 些 优 秀 的 开源 框架 
对 Python 发 展 的 贡献 很 大 ,例如 ,用 于 Web 开发 Python Web 框架 Django, 用 于 网 络 编 
程 的 支持 高 并 发 的 网 络 框 架 Twisted, 用 于 疏 虫 领域 的 Scrapy、Request、 BeautifulSoap、 
urllib 等 框架 ,用 于 云 计 算 的 OpenStack 等 框架 。 

5) 可 跨 平 台 

在 计算 机 内 部 ,Python 解释 如 把 源 代码 转换 成 为 字 市 码 的 中 间 形 式 , 然 后 再 把 它 翻 
译 成 计算 机 使 用 的 机 器 语言 并 运行 。 由 于 Python 虚拟 机 可 以 在 绝 大 多 数 操作 系统 中 运 
行 ,因此 ,只 要 程序 员 在 编 与 程序 时 注意 避免 使 用 过 于 依赖 于 系统 的 特性 ,Python 程序 就 
可 以 无 须 修改 地 工作 在 不 同 平台 上 , 例 Linux, Windows、 MacOS, Macintosh 以 及 
Google 公司 基于 Linux 开发 的 Android 平台 等 。 此 外 ,Python 强大 的 库 资源 也 能 很 好 地 
提供 里 平台 的 支持 。 

6) 可 能 人 性 

当 开 发 人 员 硕 望 程序 中 的 一 段 关 键 代 码 运行 得 更 快 时 ,可 以 把 这 部 分 程序 用 C 
C++ 编写 ,然后 在 Python 程序 中 使 用 它们 ,这 使 得 Python 程序 更 加 高 效 。Python 篆 
一 些 编程 语言 集成 在 一 起 。 例 如 ,CPython 是 Python 与 C 语言 集成 的 版 本 ,Jython 是 
Python 与 Java 集成 的 版 本 ,RubyPython 是 Python 与 Ruby 集成 的 版 本 等 。 

7) 用 户 活 跃 度 融 

从 Python 诞生 起 到 现在 时 间 已 经 很 入 了 ,关于 Python 开发 有 大 量 的 文档 指南 、 教 
程 和 开发 人 员 支 持 ,因此 Python 的 开发 者 社区 非常 活跃, 无 论 是 新 手 程序 员 还 是 熟练 的 
开发 人 员 ,在 需要 支持 或 有 问题 时 ,都 能 在 社区 中 得 到 及 时 的 帮助 。 此 外 ,各 大 公司 的 文 
持 对 Python 编程 声言 的 发 展 也 很 有 玫 助 。 正 如 C # 有 微软 公司 ,Java 有 Sun 公司 ， 
Facebook 公司 使 用 PHP 一样 ,谷歌 公司 在 近年 大 量 使 用 Python ,并 将 其 应 用 在 多 个 平 
台 和 应 用 中 。 为 了 方便 公司 团队 和 未 来 的 开发 人 员 使 用 系统 和 应 用 程序 ,谷歌 公司 编写 
了 大 量 的 Python 指南 和 教程 ,提供 了 越 来 越 多 的 文 要 和 文 持 工 具 


或 
同 
且 . 
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2 Pyho 的 应 用 方向 

近年 来 在 网 页 爬虫 .数据 挖掘 .科学 计算 、 机 需 学 习 等 领域 ,Python 已 经 拥有 不 可 蔡 
代 的 地 位 。Python 的 开发 效率 极 高 ,可 以 帮助 企业 在 短 时 间 内 将 想法 用 产品 表现 出 来 ， 
因此 它 已 成 为 众多 创业 公司 的 育 选 开发 语言 。Python 的 应 用 方 回 主要 有 以 下 几 个 。 

1) 大 数据 和 云 计 算 方案 

Python 是 数据 科学 中 最 流行 的 语言 之 一 , 仅 次 于 RR 语言 。 由 于 Python 拥有 大 量 的 
标准 库 和 扩展 库 , 可 以 进行 强大 的 数据 操作 ,通过 数据 分 析 , 到 分 挖掘 数据 的 价值 。 
Python 在 企业 中 篆 被 用 于 机 需 学 习 和 人 工 智 能 系统 以 及 各 种 现代 技术 ,已 成 为 大 数据 分 
析 的 强 有 力 工具 。 

2) 日 动 化 运 维 

目前 Python 是 金融 分 析 、 量 化 交易 领域 里 用 得 最 多 的 科学 计算 语言 , 随 着 NumPy、 
SciPy、Matplotlib、Enthought librarys 等 众多 程序 库 的 开发 ,Python 越 来 越 适 用 于 科学 
计算 以 及 高 质量 的 2D 和 3D 图 像 绘制 。 与 科学 计算 领域 最 流行 的 商业 软件 Matlab 相 
比 , Python 更 加 通用 , 比 Matlab 所 采用 的 脚本 二 言 的 应 用 范围 更 广 沁 。 

3) 网 络 游戏 开发 

Python 在 网 络 游戏 开发 中 也 有 很 多 应 用 。 相 比 Lua 和 C++ ,Python 有 更 高 阶 的 抽 
象 能 力 , 可 以 用 更 少 的 代码 摘 述 游戏 业务 逻辑 。Python 非常 适合 编写 1 万 行 以 上 的 项 
目 ,而 且 可 以 很 好 地 把 网 络 游戏 项 目的 规模 控制 在 10 万 行 代码 以 内 。 


3 Python 的 安全 现状 

Python 的 开源 性 使 其 应 用 广泛 ,但 Python 语言 是 开源 的 ,一 些 攻击 者 可 以 利用 
Python 的 开源 性 发 布 含有 漏洞 的 开源 代码 , 当 程 序 员 和 直接 使 用 这 些 代 码 而 不 对 其 进行 安 
全 检验 时 ,软件 就 可 能 被 攻击 者 利用 。 此 外 , 相 比 其 他 语言 ,Python ag 
发 现 。 例 如 , 当 需 要 格式 化 字符 串 时 ,在 PHP 中 需要 借用 sprintf 函数 ,而 在 Python 

一 个 % 即 可 ,所 以 很 多 在 PHP 中 可 以 轻 匈 发 现 的 错误 在 Python 中 就 需要 更 加 细心 
的 检查 。 

1) 开源 软件 爆炸 式 增 长 

包 管 理工 具 索 引 的 开源 包 数 量 呈 爆炸 式 增 长 ,Python 库 一 年 的 开源 包 数 量 增长 率 为 
32‰。 但 是 ,开源 代码 具有 内 在 风险 。 虽 然 同 开源 项 目 贡 献 代 码 的 多 数 人 员 并 非 恶意 
员 ,但 是 他 们 使 用 的 开源 代码 的 来 源 无 法 保证 ,而 且 不 同 开源 项 目 之 间 的 安全 标准 和 维护 
者 的 技术 水 平 各 不 相同 。 开 源 组 件 中 的 已 知 汤 洞 也 成 为 非 第 具有 吸引 力 的 攻击 问 量 
(attack vector) ,一 旦 这 些 汤 润 被 公开 披露 ,那么 利用 代码 就 会 紧 随 其 后 。 

2) 模块 注入 

Python 的 模块 导入 体系 很 强大 ,同时 也 很 复杂 。 调 用 Python 解释 器 的 最 初 脚本 所 
在 的 目录 是 日 动 插 进 搜索 路 径 的 ,任何 模块 和 包 都 可 以 通过 其 文件 名 或 目录 名 在 被 sys. 
path 列表 所 定义 的 搜索 路 径 中 找到 。 搜 索 路 径 初 始 化 是 一 个 复杂 的 过 程 ,而 且 也 会 因为 
Python 版 本 .平台 和 本 地 配置 的 不 同 而 有 所 差异 。 因 此 ,攻击 者 只 要 能 找到 一 个 方法 在 
Python 导入 模块 时 将 恶意 的 模块 插 进 Python 可 能 会 导入 的 目录 或 者 包 文 件 中 ,就 能 成 
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功 地 制造 一 次 对 Python 应 用 的 攻击 。 

3) 临时 文件 的 使 用 

临时 文件 的 不 正当 使 用 会 导致 一 系列 的 安全 漏洞 ,这 对 很 多 编程 语言 都 是 一 大 威胁 。 
在 Python 脚本 中 ,临时 文件 仍然 在 被 大 量 使 用 ,临时 文件 一 般 被 创建 和 保存 在 文件 系统 
中 而 非 开 发 者 最 终 要 将 其 放置 的 位 置 。 攻 击 者 可 以 利用 不 安全 的 文件 系统 的 访问 许可 ， 
以 此 来 调用 一 些 中 间 步 又 ,最终 引发 数据 保密 和 完整 性 问题 。 


6.2 Python 和 常见 安全 威胁 的 防御 


621 代码 注入 的 防御 


解释 二 言 与 编译 语言 不 同 , 因 编 详 语 言 需要 程序 员 在 编写 时 融 对 狐 代 码 进 行 编 详 并 
生成 可 执行 文件 ,但 解释 语言 在 执行 之 前 才 生 成 机 带 代 人 码 。 在 编译 语言 中 ,一 旦 程序 被 编 
洋 ,除非 重新 编译 并 重新 分 发 可 执行 文件 ,否则 源 代 码 将 无 法 再 被 修改 ,而 现在 的 Web 应 
用 程序 郡 需要 使 用 后 端 数据 库 来 收集 数据 并 为 用 户 生 成 动态 驱动 的 内 容 , 编 详 语言 已 经 
不 适用 于 目前 的 应 用 开发 中 ,因此 现 阶 段 解释 型 编程 语言 在 开发 人 员 中 更 加 流行 ,包括 


PHP Java、Python 等 。 


1 代码 注入 的 原理 

代码 注入 攻击 指 的 是 任何 允许 攻击 者 在 网 络 应 用 程序 中 注入 源 代 码 并 使 其 得 到 解读 
和 执行 的 方法 。 源 代码 可 以 通过 不 可 信 的 输入 直接 注入 ,也 可 以 在 本 地 文件 系统 或 类 似 
于 URL 的 外 部 来 源 加 载 代 码 时 操纵 网 络 应 用 程序 。 造 成 代码 注入 漏洞 的 原因 主要 有 以 
下 几 个 : 输入 验证 失败 ,任何 语 境 下 的 不 可 信和 输入 ,未 能 保障 源 代码 库 的 安全 ,在 下 载 第 
三 方程 序 库 时 不 够 说 导 ,服务 般配 置 不 当 导 致 非 Python 文件 可 以 通过 网 络 服务 硕 传 送 
到 Python 解释 程序 ,这 意味 独 不 可 信用 户 可 以 上 传 文件 到 服务 大 ,从 而 市 来 极 大 的 

Python 中 常见 的 代码 注入 攻击 方法 如 下 : 

(1) eval() 图 数 。 该 图 数 能 够 执行 一 行 任 意 字 符 串 形式 的 代码 ,将 字符 串 对 象 转 换 为 
有 效 的 表达 式 , 参 与 求 值 运算 并 返回 计算 结果 。 其 格式 如 下 : 

eval (expression,qlcbals- None, 10cals= NoneD) 

其 中 ,expression 是 一 个 参与 计算 的 Python 表达 式 ;globals 是 可 选 的 参数 ,代表 了 
全 局 名 称 空 间 中 的 对 象 , 如 果 其 属性 不 是 None, 束 必须 是 dictionary;1locals 是 可 选 的 对 
象 ,代表 了 局 部 名 称 空 间 中 的 对 象 ,如 果 其 属性 不 是 None,' 可 以 是 任意 的 映射 对 象 。 

eval() 困 数 需要 用 户 输入 一 个 表达 式 。 如 果 攻 击 者 输入 亚 意 字符 串 ,例如 : 

inport _ ('os') .system('dir') 

则 当前 目录 文件 都 会 展现 在 攻击 者 前 面 ,攻击 者 可 以 继续 输入 命令 查看 系统 文件 , 盗 取 敏 
感 信息 。 
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(2) exec() 图 数 。 该 图 数 能 够 执行 字符 串 形式 的 代码 块 。 其 格式 如 下 : 


其 中 ,obj 对 和 象 可 以 是 字符 串 ( 如 单一 语句 、 语 句 块 ) ,文件 对 象 , 也 可 以 是 已 经 由 compile 
观 编 伴 过 的 代 人 码 对 和 象 。 


exec(” _inport _('0s').system('uname -a')") 


(3) 反 序列 化 一 个 pickle 对 象 时 。 如 果 pickle 反 序列 化 用 户 在 登录 信息 时 没有 进行 
校 验 , 则 当 对 应 的 存储 介质 (memcache ,redis) 没 有 开局 登录 认证 并 且 暴 露 在 公 网 中 时 , 攻 
击 者 可 以 轻 钨 四 其 中 注入 代码 。 例 如 


pickle.loads ("cposixvnsystemnp0vn (Suname -a \npl \ntpAnRp3\n.")) 


(4) 执行 一 个 Python 文件 。 执 行 外 部 文件 时 十 分 容易 发 生 代码 注入 。 攻 击 者 可 以 
在 外 部 文件 中 添加 后 门 漏洞 ,在 执行 文件 时 对 服务 器 进行 攻击 。 例 如 : 


execfile ("testf .py') 


2 代码 注入 攻击 的 防范 措施 

代码 注入 攻击 的 现象 在 许多 编程 语言 中 痢 十 分 常见。 进行 安全 编码 是 每 个 程序 开发 
人 员 都 必须 注意 的 。 一 般 和 常用 以 下 几 种 方法 防范 代码 注入 攻击 : 

(1) 严格 控制 输入 ,过 滤 所 有 和 危险 模块 ,直到 非法 字符 时 和 卫 接 返回 。 

(2) 使 用 ast. literal eval() 图 数 代 替 eval() 国 数 , 在 项 目 中 禁止 使 用 eval() 函 数 , 可 
在 git hook 中 添加 代码 检查 。 

(3) 安全 使 用 pickle。 


622 密码 存储 方式 


在 各 种 应 用 中 ,用 户 名 和 密码 是 用 户 映 份 认证 的 关键 ,因此 密码 安全 保护 的 重要 性 不 
言 而 喻 。 一 是 因为 密码 作为 保护 服务 各 和 用 户 敏 怀 数 据 的 钥匙 ,一 旦 被 破解 ,系统 将 完全 
众 露 在 攻击 者 面前 。 二 是 由 于 大 多 数 用 尸 会 在 不 同 应 用 中 使 用 近似 其 至 完全 相同 的 密 
人 码 , 因 此 密码 本 身 就 是 非常 敏感 的 数据 ,一旦 一 个 应 用 的 密码 被 破解 ,攻击 者 可 能 使 用 此 
密码 去 笠 试 破解 用 户 在 其 他 网 站 的 账号 。 


1 传统 密码 存储 方式 

在 系统 中 存储 用 户 密 人 码 有 以 下 几 种 第 见方 法 : 

(1) 系统 完全 不 接触 密码 ,将 用 户 的 员 份 认证 转交 受信 任 的 第 三 方 来 处 理 。 例 如 
OpenID 这 样 的 解决 方案 ,系统 向 受信 任 的 第 三 方 求证 用 户 吴 份 的 合法 性 ,用 户 通过 密码 
回 第 三 方 证 明 目 己 的 身份 ,这 样 系统 驶 不 需 再 负责 保证 密码 的 安全 。 对 用 户 来 说 ,他 们 也 
不 需要 为 每 个 应 用 都 和 广 册 账号 ,因为 同一 个 OpenID 就 可 以 登录 所 有 支持 OpenID 的 系 
统 。 然 而 ,用 户 和 资源 在 现在 的 网 络 世 界 十 分 有 价值 ,大 多 数 网 站 都 而 盟 目 己 掌 握 用 户 
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(2) 密码 明文 卫 接 存储 在 系统 中 。 既 然 应 用 希望 掌握 用 户 资 源 , 则 他 们 宕 要 目 己 负 
页 用 户 的 认证 。 其 中 ,安全 系数 最 低 , 但 是 在 现在 又 十 分 常见 的 一 种 方法 是 将 密码 明文 存 
储 。 采 用 这 种 方法 时 ,管理 员 能 得 看 所 有 用 户 的 密码 明文 ,一 旦 管理 员 权 限 锌 盗 取 ,后 末 
将 十 分 严重 。 

(3) 密码 明文 经 过 转换 后 再 人 存储。 将 密码 经 过 一 些 数学 算法 转换 加 蜜 后 再 存储。 这 
种 方法 与 是 接 存储 密码 明文 没有 本 质 区 别 , 任 何 知 道 或 破解 出 转换 方法 的 人 部 可 以 通过 

(4) 密码 经 过 对 称 加 密 后 青 存 储 。 米 用 此 方法 时 ,密码 明文 的 安全 性 和 失 同 于 加 密 密 
钥 本 号 的 安全 性 。 由 于 对 称 加 密 的 密 钥 需要 同时 用 于 加 密 与 解密 ,所 以 一 般 它 会 二 接 出 
现在 加 密 代 码 中 ,这 样 攻击 者 也 可 轻易 破解 密 钥 ,进而 解密 得 出 密码 原文 。 

(5) 密码 经 过 非 对 称 加 密 后 再 人 存储。 采用 此 方法 时 ,密码 的 安全 性 等 同 于 私 钥 的 安 
全 性 。 网 站 将 密码 明文 经 过 公 钥 加 密 后 存储 。 如 果 攻 击 者 想 要 还 原 密码 明文 ,就 必须 破 
解 出 相应 的 私 钥 才 行 ,因此 ,只 要 保证 私 钥 的 安全 ,就 可 以 保证 密码 明文 的 安全 。 密 码 的 
私 钥 可 以 交 由 受信 任 的 人 或 机 构 来 营 管 ,正常 的 网 站 号 份 验证 只 需要 用 公 钥 就 可 以 。 

以 上 5 种 方法 的 共同 特点 是 可 以 从 存储 的 密码 形式 还 原 到 密码 明文 。 然 而 ,只 要 从 
网 站 系统 能 知道 密码 明文 ,那么 攻 和 人 这 个 网 站 的 攻击 者 也 可 以 对 网 站 用 户 密码 进行 还 原 ， 
所 以 密码 最 好 是 以 不 可 还 原 明 文 的 方式 来 保存 。 


2 Ptham 中 的 密码 存储 方式 

在 Python 中, 通 第 利用 哈 希 算法 的 单亲 性 来 保证 明文 以 不 可 还 原 的 有 损 方式 进行 
存储 。 这 类 方法 的 各 种 具体 操作 方式 按 安 全 性 由 低 到 高 依次 如 下 : 

(1) 使 用 网 站 独创 的 哈 希 算法 对 密码 进行 险 硕 运算 ,存储 运算 后 的 但 。 然 而 哈 希 算 
法 十 分 复杂 ,独创 哈 硕 算法 对 密码 学 理论 知识 要 求 很 高 ,一 般 独创 的 哈 硕 算法 并 没有 已 公 
开 的 经 过 时 间 检 验 的 哈 硕 自 法 质量 高 ,因此 并 不 十 分 安全 。 

(2) 使 用 MD5 或 SHA-1 算法 。 这 是 目前 比较 常见 的 加 密 方 法 。 但 由 于 近 些 年 
MD5 和 SHA-1 已 被 破解 ,攻击 者 虽 不 能 还 原 密 人 码 明 文 ,但 可 以 轻 匈 找到 能 生成 相同 哈 希 
全 的 将 代 明 文 。 并 且 这 两 个 算法 速度 较 快 , 雄 力 破解 相对 省 时 。 

(3) 使 用 更 安全 的 SHA-256 等 成 熟 算 法 。 这 种 算法 更 加 复 琳 , 且 增 加 了 雄 力 破解 的 
难度 。 但 如 采用 户 密 码 过 于 简单 ,攻击 者 通过 彩虹 字典 将 很 快 束 能 得 到 密码 原文 。 

(4) 加 入 随机 盐 (salt) 的 哈 希 算法 。 将 密码 原文 (或 经 过 哈 硕 运 算 后 的 值 ) 和 随机 生 
成 的 盐 字 符 串 混 消 ,然后 再 进行 哈 希 运算 ,最 后 把 哈 硕 值 和 盐 值 一 起 人 存储。 验证 密码 的 时 
候 只 需要 用 盐 值 与 密码 原文 做 一 次 相同 的 运算 ,比较 运算 结果 和 存储 的 哈 硕 值 是 否 相 同 
即 可 。 这 样 ,即使 是 简单 密码 ,在 经 过 加 盐 混 涌 后 产生 的 也 是 并 不 常见 的 字符 串 , 根 本 不 
会 出 现在 彩虹 字典 中 。 盐 字符 串 越 长 , 骏 力 破解 的 难度 越 大 。 


623 异常 处 理 机 制 


异常 处 理 在 许多 编程 语言 中 都 是 值得 关注 的 一 个 话题 。 在 操作 系统 提供 的 调用 过 程 
中 ,程序 员 往 往 通过 事先 约定 一 个 返回 的 错误 人 码 来 判断 程序 是 否 有 和 错 以 及 出 错 的 原因 。 
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例如 ,打开 文件 的 函数 open() 在 成 功 时 返回 文件 描述 符 ( 一 个 整数 ) ,在 出 错时 返回 一 1。 
然而 用 错误 人 码 来 表示 是 否 出 错 在 现在 的 程序 运行 过 程 中 十 分 不 便 , 因 为 函数 本 号 应 该 返 
回 的 正 第 结果 经 党 和 错误 人 码 混 在 一 起 ,造成 调用 人 员 寄 要 额外 使 用 大 量 代码 来 判断 程序 
是 否 出 错 。 所 以 大 多 数 高 级 语言 通 第 都 内 置 了 一 套 错 误 处 理 机 制 来 帮助 开发 人 员 检 查 程 
序 是 任 有 异常 ,Python 也 不 例外 。 展 好 的 异常 处 理 机 制 可 以 让 程序 抵抗 攻击 的 能 力 更 
强 ,增强 程序 的 容错 性 。 清 晰 的 错误 信息 可 以 帮助 程序 员 快 速 修复 问题 。 


1 Python 的 异 弟 处理 机 制 

通常 , 当 Python 解释 此 检 测 到 错误 ,无 法 正 第 执行 程序 时 ,就 会 触发 异常 。 如 果 异 
党 被 触发 且 没 人 彼 处 理 , 程 序 束 会 在 当前 异常 处 终止 ,后 面 的 代码 将 不 会 运行 。 因 此 , 当 弄 
党 发 生 时 ,程序 员 害 要 编写 特定 的 代 人 码 对 异常 进 行 捕 提 和 处 理 ,如 来 捕捉 成功, 系统 将 进 
入 男 外 一 个 分 支 , 执 行 处 理 此 异常 的 代码 ,使 程序 不 会 朋 浊 ,这 就 是 异常 处 理 。 

在 Python 中 ,第 使 用 try-except-finally 错误 处 理 机 制 来 进行 寞 津 处 理 。 当 程 友 员 认 
为 程序 中 的 某 段 代码 可 能 会 出 错时 ,可 以 使 用 try 语句 来 运行 这 段 代 人 码 , 当 开 始 一 个 try 
语句 后 ,Python 束 在 当前 程序 的 上 下 文中 作 标 记 , 这 样 , 当 异 第 出 现时 就 可 以 回 到 这 里 。 
如 末 try 后 的 语句 执行 时 发 生 异 凋 , 则 后 续 代 码 不 会 继续 执行 ,Python 和 卫 接 跳 回 到 try 并 
执行 第 一 个 匹配 该 异常 的 except 语句 ,让 except 语句 捕获 异常 信息 并 进行 处 理 , 在 执行 
完 except 博 句 后 执行 finally 说 句 ( 可 以 没有 finally 语句 ), 人 至 此 程序 执行 完毕 。 如 采 在 
try 后 的 语句 里 发 生 了 异常 , 却 没有 与 之 匹配 的 except 子 句 ,异常 将 被 递交 到 上 一 层 的 
try; 或 者 返回 程序 的 最 上 层 ( 这 样 将 结束 程序 ,并 打印 默认 的 出 错 信 息 ); 如 果 没 有 异 当 发 
生 , 则 except 语句 不 会 被 执行 ,程序 将 继续 执行 finally 语句 ,直至 结束 。 

Python 还 可 以 使 用 内 置 的 logging 模块 来 记录 错误 ,从 而 进行 异 篆 处 理 。 系 统 可 以 
把 捕获 的 错误 信息 打印 出 来 ,分 析 错 误 原 因 , 同 时 程序 可 以 继续 执行 下 去 ,并 正常 退出 。 
通过 配置 ,logging 还 可 以 把 错误 记录 到 日 志文 件 里 ,方便 程序 员 事后 进行 进一步 排查 。 

当 发 生 了 不 同类 型 的 错误 时 ,应 该 由 不 同 的 except 语句 处 理 , 主 要 有 以 下 两 种 形式 : 

(1) 使 用 except 处 理 所 有 异常 类 型 。 格 式 如 下 .: 


try: 
正常 的 操作 
except: 
发 生 异 第 ,执行 这 块 代码 
else: 
如 果 没 有 发 生 异 常 ,执行 这 块 代码 
这 种 try-except 语句 可 以 捕获 所 有 发 生 的 异 凋 。 但 这 并 不 是 一 个 很 好 的 方式 ,因为 
它 可 以 捕获 所 有 的 异常 ,所 以 程序 员 无 法 通过 该 程序 识别 出 具体 的 异常 类 型 
(2) 使 用 except 按 异 党 类 型 分 别处 理 。 
可 以 使 用 相同 的 except 语句 分 别处 理 多 个 异常 信息 。 格 式 如 下 : 
try: 
正常 的 操作 
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except (Exception|,FExoasption2,"" ,ExceptionN) : 

发 生 以 上 多 个 异常 中 的 一 个 ,执行 这 块 代码 
else: 

如 果 没 有 发 生 异 常 ,执行 这 块 代码 


2 异 弟 处 理 中 的 弟 见 稍 误 
营 处 理 中 的 常见 错误 如 下 : 

。 代码 运行 前 的 语法 或 者 氨 辑 错误 (用 户 输入 不 完整 或 输入 非法 )。 

。 AttributeError: 试图 访问 一 个 对 象 没有 的 属性 。 例 如 ,要 访问 foo. x, 但 foo 没有 
属性 x。 

。 IOError: 输入 输出 异常 ,无 法 打开 文件 。 


ImportError: 无 法 引 和 模块 或 包 , 通 第 是 路 算 问 题 或 名 称 销 误 。 
IndentationError: 代码 疫 有 正确 对 齐 。 

IndexError: 下 标 越界 。 例 如 ,x 只 有 3 个 元 系 , 却 试 图 访问 xL 5j。 
KeyError: 试图 访问 字典 里 不 存在 的 刍 。 

KeyboardInterrupt: 键盘 中 断 ,Ctrl 十 C 键 被 按 下 。 

NameError: 洋 试 访问 一 个 没有 声明 的 变量 。 

SyntaxError: 语法 错误 ,代码 不 能 编 详 。 

TypeError: 传人 对 象 类 型 与 要 求 的 不 符合 。 

UnboundLocalError: 试图 访问 一 个 还 未 被 设置 的 局 部 变量 ,一 般 是 因为 程序 内 
妨 有 一 个 同名 的 全 局 变量 ,导致 系统 以 为 程序 正在 访问 它 。 

。 ValueError: 传人 一 个 调用 者 不 期 望 的 值 (即使 但 的 类 型 是 正确 的 )。 


624 文件 上 传 漏 洞 的 防御 


文件 上 传 狂 润 是 指 用 户 在 上 传 了 一 个 可 执行 的 脚本 文件 后 ,通过 此 脚本 文件 获得 了 
执行 服务 硕 中 命令 的 功能 。 这 种 攻击 方式 是 最 直接 ,有效 的 ,对 潮 洞 攻击 了 解 不 多 的 人 也 
可 以 实施 这 种 攻击 。 文 件 上 传 本 号 是 没有 问题 的 ,但 如 有 果 服 务 右 处 理 和 解析 文件 的 模式 
不 够 安全 ,对 有 恶意 的 可 执行 文件 没有 进行 安全 检测 ,服务 省 问 就 执行 此 文件 , 则 会 导致 严 
重 的 安全 问题 。 


1 文件 上 传 漏洞 的 原理 

如 果 上 传 的 文件 是 Web 脚本, 则 服务 硕 的 Web 容 需 将 解释 并 执行 上 传 的 Web 脚 
本 ,导致 恶意 代码 被 执行 ,这 就 是 常见 的 Web shell 问题 。 如 果 上 传 的 文件 是 flash 的 策 
略 文件 ,攻击 者 可 以 通过 控制 flash 在 该 域 下 的 行为 来 进行 其 他 攻击 。 如 果 上 传 的 文件 
是 病毒 或 木马 文件 ,攻击 者 可 以 通过 服务 硕 户 使 其 他 用 户 下 载 并 执行 文件 ,以 传播 病毒 。 
如 条 上传 的 文件 是 钓鱼 图 片 或 者 包含 了 脚本 文件 的 图 片 , 则 在 某 些 版 本 的 浏览 华中 ,这 些 
脚本 文件 会 被 执行 ,从 而 被 用 来 实施 钓鱼 攻击 。 

要 完成 文件 上 传 攻击 ,需要 满足 以 下 几 个 条 件 : 

(1) 上 传 的 文件 需要 能 够 锌 Web 容 各 解释 执行 ,因此 文件 上 传 的 目录 应 该 是 Web 
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容 需 所 履 盖 的 路 径 。 

(2) Web 服务 融 能 够 访问 这 个 文件 。 如 末 文 件 上 传 后 用 户 无 法 通过 Web 访问 这 个 
文件 ,那么 攻击 者 即使 上 传 了 这 个 文件 ,也 无 法 对 用 户 进 行 攻击 。 

(3) 用 户 上 传 的 文件 没有 被 安全 监测 格式 化 或 者 被 图 片 压缩 等 处 理 改变 了 内 容 。 如 
果 上 传 文件 的 内 容 被 改变 , 则 文件 可 能 会 解析 失败 ,也 就 无 法 进行 攻击 了 。 


2 文件 上 传 攻击 的 防 江 措施 

为 了 更 好 地 防范 文件 上 传 攻 击 ,可 考虑 以 下 几 种 指 施 : 

(1) 将 文件 上 传 目 录 设 置 为 不 可 执行 。 对 于 Linux 而 言 ,撤销 其 目录 的 可 执行 权限 。 
许多 大 型 网 站 的 上 传 应 用 部 会 放置 在 独立 的 存储 设备 上 ,作为 静态 文件 处 理 , 这 样 一 是 方 
便 使 用 缓存 加 速 功能 降低 能 耗 ,二 是 杜绝 了 脚本 执行 的 可 能 性 。 

(2) 对 上 传 文件 类 型 进行 检查 。 可 以 选择 日 名 单 ,结合 MIME Type.\ 后 级 检查 等 方 
式 对 文件 类 型 进行 判断 ;对 于 图 片 文件 的 处 理 可 以 使 用 压缩 图 数 或 resize() 函 数 在 处 理 
图 片 的 同时 破坏 其 包含 的 HTML 代码 。 

(3) 使 用 随机 数 改 写 文 件 名 和 文件 路 径 。 这 样 一 是 使 文件 在 上 传 后 无 法 访问 ,二 是 
shell. php. rar. rar 和 crossdomain. xml 等 文件 都 将 因为 被 重 命 名 而 无 法 实施 攻击 。 

(4) 单独 设置 文件 服务 硕 的 域名 。 由 于 训 览 大 的 同 源 胰 略 , 这 种 方法 会 使 一 系列 客 
户 闪 攻击 失效 ,例如 上 传 crossdomain. xml、 上 传 包含 JavaScript 脚本 的 XSS 攻击 等 
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在 开发 过 程 时 ,程序 设计 人 员 通 常 更 多 地 关注 从 需求 到 代码 的 设计 实现 以 及 开发 的 
速度 和 质量 ,而 最 重要 的 安全 性 则 不 多 第 量化 和 关注 。 虽 然 大 部 分 普通 用 户 只 会 关注 使 
用 和 是否 合理 ,但 仍 有 一 小 部 分 用 户 会 关注 如 何 发 现 和 利用 系统 的 独 洞 ,甚至 对 系统 加 以 破 
坏 。 因 此 ,提高 开发 人 员 的 安全 编 码 意识 以 及 进行 安全 编 但 十 分 重要 。 

本 基于 Python 主要 发 行 版 本 的 标准 库 , 介 绍 Python 安全 编码 规范 ,以 带 助 开 发 
人 员 提 升 代 码 的 可 庶 性 ,保持 项 目 中 编码 的 风格 一 致 性 和 安全 性 。 需 要 注意 的 是 ,不 要 为 
了 这 守 编 码 规 范 而 破坏 代 公 的 羔 容 性 。 
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1 源 文件 编码 

代码 在 Python 3 中 以 UTF-8 格式 编码 ,在 Python 2 中 采用 ASCII 编码 。 使 用 
ASCII 编码 或 UTF-8 编码 的 文件 应 该 有 编码 声明 。 

Python 3 和 更 高 版 本 的 标准 库 规定 : Python 标准 库 中 的 所 有 标识 符 必 须 使 用 
ASCII 标识 符 , 并 在 一 般 情 况 下 使 用 英语 单词 (在 许多 情况 下 ,缩写 和 技术 术语 是 非 英 语 
的 )。 此 外 ,字符 串 和 注释 也 必须 使 用 ASCII 标识 符 。 当 测试 非 ASCII 特征 的 测试 用 例 
以 及 编写 作者 的 名 字 时 例外 。 作 者 的 名 字 如 果 不 使 用 拉丁 字母 拼写 ,必须 提供 拉丁 字母 
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2 导入 

导入 语句 总 是 位 于 文件 的 开头 ,在 模块 注释 和 文档 说 明之 后 ,在 模块 的 全 局 变量 与 第 
量 之 前 。 守 入 通常 按照 以 下 顺序 分 组 : 标准 库 村 入 ,相关 第 三 方 库 守 入 ,本 地 应 用 / 库 特 
定 叶 人 。 通 第 应 分 开 叶 和 信 。 例 如 ,以 下 是 推荐 的 写法 : 


Mport os 


以 下 是 不 推荐 的 写法 : 

推荐 使 用 绝对 路 径 寻 入 。 如 采 导 人 系统 时 的 路 径 没 有 正确 地 配置 ,使 用 绝对 路 径 将 
会 更 清晰 并 且 能 更 准确 地 提供 铺 误 信息 。 指 定 相 对 导 和 人 路径 也 是 一 个 可 接 爱 的 符 代 方 
案 ,特别 是 在 绝对 路 径 特别 元 长 的 时 候 。 

当 从 一 个 包 售 类 的 模块 中 导 和 人 类 时 , 通 稼 这 样 朱 述 : 


1 from myclass import MyClass 


2 from foo.bar.yourclass import YourClass 
如 果 上 面 的 写法 导致 名 字 的 冲突 , 则 可 以 写 为 


1 import myclass 


2 import foo.bar.yourclass 


然后 在 引用 时 使 用 myclass. MyClass 和 foo. bar. yourclass. YourClass 的 形式 。 

3 字 待 串 引 号 

在 Python 中 ,使 用 单 引 号 和 双 引 号 的 字符 串 是 相同 的 ,选择 一 种 引号 并 坚持 使 用 下 
去 即 可 。 当 一 个 字符 串 中 包含 单 引 号 或 者 双 引 号 字符 的 时 候 , 使 用 和 最 外 层 不 同 的 引号 
来 避免 使 用 反 和 斜 线 进 行 转 义 , 从 而 提高 可 谈 性 。 对 于 三 引号 字符 串 , 总 是 使 用 双 引 号 字符 
来 与 PEP 257 中 的 文档 学 符 串 约定 保持 一 致 。 

632 注释 语句 

注释 语句 在 句 尾 结束 的 时 候 应 该 加 两 个 空格 。 帮 注释 很 得 ,结尾 的 句号 可 以 省 略 。 
如 果 注 释 是 一 个 短语 或 句子 , 它 的 第 一 个 单词 的 首 字 母 应 该 大 写 ,除非 它 是 以 小 写字 母 开 
头 的 标识 符 (标识 符 的 大 小 写 不 应 改变 )。 

用 更 文书 写 时 ,应 遵循 规范 的 英文 书写 风格 。 非 英语 国家 的 Python 程序 员 也 应 使 
用 英文 写 注 释 。 当 代码 被 更 改 时 ,注意 更 新 对 应 的 注释 。 

1 块 注释 

块 注释 一 般 是 由 完整 句子 组 成 的 一 个 或 多 个 段落 ,并 且 在 每 句 话 的 结束 处 有 个 句号 。 
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块 注释 通常 缩 进 到 与 其 需要 解释 的 代码 相同 的 级 别 。 在 块 注释 的 每 一 行 开 头 ,使 用 一 个 
# 和 一 个 空格 (除非 块 注释 内 部 缩 进 文 本 ); 在 块 注释 内 部 的 段落 间 , 使 用 一 个 # 和 空 行 
分 隔 。 

2 行内 注释 

行内 注释 是 与 代码 语句 同行 的 注释 。 行 内 注释 和 代码 之 间 至 少 要 用 两 个 空格 分 隔 ， 
注释 由 # 和 一 个 空格 开始 。 

应 该 有 节制 地 使 用 行内 注释 。 事 实 上 ,如 果 代 码 意 义 很 明显 ,行内 注释 就 是 不 必要 
的 ,因为 它 反 而 会 分 散 注 意 力 。 例 如 ,下 面 的 注释 就 是 不 必要 的 : 


1 xX=XxX+1 # Increment x 


但 有 时 行内 注释 很 有 用 ,例如 


1 x=XxX+1 # Compensate for border 


3 文档 说 明 

要 为 所 有 的 公共 模块 .图 数 .类 以 及 方法 编写 文档 说 明 。 非 公共 的 方法 不 需要 文档 说 
明 ,但 是 需要 一 个 描述 此 方法 具体 作用 的 注释 ,此 注释 应 该 在 def 行 后 。 

对 于 单行 的 文档 说 明 ,结尾 的 三 引号 应 该 和 文档 说 明 的 文字 在 同一 行 。 对 于 多 行 的 
文档 说 明 ,结尾 的 三 引号 应 该 单独 占 一 行 。 

符合 规范 的 文档 说 明 如 下 ，; 


Return a foobang 


在 WUU fk 人情 


Optional plotz says to frobnicate the bizbaz first. 


633 个 名 规 苍 


Python 库 没 有 统一 的 命名 规范 ,但 目前 有 一 些 推荐 的 命名 标准 ,新 的 模块 和 包 ( 包 括 
第 三 方 框架 ) 应 该 采用 这 套 标准 ;但 对 于 已 有 的 库 , 当 其 已 采用 了 不 同 的 命名 风格 时 ,推荐 
你 持 内 部 一 致 性 。 


1 最 重要 的 原则 

对 公众 可 见 的 命名 应 当 优 先 考虑 反映 其 用 途 , 如 API 中 的 命名 。 
2 他 名 约定 

1) 异常 名 


因为 异常 一 般 都 是 类 ,所 以 类 的 命名 方法 在 这 里 也 适用 。 但 需要 在 异常 名 后 面 加 上 
Error 后 级 (如 果 该 异 弟 确实 是 一 个 销 误 )，。 
118 


第 6 章 Python 安全 编码 


2) 全 局 变量 名 

全 局 变量 应 只 在 模块 内 部 使 用 , 它 采 用 和 图 数 一 样 的 命名 规则 。 通 过 from M 
import x 导入 的 模块 应 该 使 用 all 机 制 来 防止 内 部 的 接口 对 外 骏 露 ,或 者 使 用 在 全 局 变 
量 前 加 下 男 线 的 方式 来 表明 这 些 全 局 变量 是 模块 内 非 公 有 的 。 

3) 函数 和 方法 参数 

始终 将 self 作为 实例 方法 的 第 一 个 参数 。 

始终 将 cls 作为 类 静态 方法 的 第 一 个 参数 。 

如 果 函 数 的 参数 名 和 已 有 的 关键 字 冲 突 ,在 参数 名 的 最 后 加 单 下 画 线 比 缩写 或 随意 
拼写 更 好 。 因 此 class_ 比 clss 更 好 。 

4) 方法 名 和 实例 变量 

方法 名 和 实例 变量 遵循 这 样 的 命名 规则 : 使 用 下 画 线 分 隅 小 写 单 词 以 提高 可 读 性 ; 
在 非 公有 方法 和 实例 变量 前 使 用 单 下 画 线 。Python 通过 类 名 对 这 些 命名 进行 转换 。 例 
如 ,类 Foo 有 一 个 名 为 _a 的 成 员 变 量 , 它 将 无 法 通过 Foo._a 访问。 一 般 通 过 前 级 双 下 
画 线 以 避免 类 中 的 属性 名 与 子 类 名 冲突 。 

5) 继承 的 设计 

始终 要 考虑 到 一 个 类 的 方法 和 实例 变量 (统称 为 属性 ) 应 该 是 公有 的 还 是 非 公 有 的 。 
如 果 存 在 疑问 , 那 就 选 非 公有 ,因为 将 一 个 非 公 有 变量 转 为 公有 比 反 过 来 更 容易 。 

男 一 种 属性 是 子 类 API 的 一 部 分 (在 其 他 语言 中 通 第 被 称 为 protected, 即 受 保 护 
的 )。 有 些 类 是 专 为 继承 设计 的 ,用 来 扩展 或 者 修改 类 的 一 部 分 行为 。 当 设计 这 梓 的 类 
时 ,要 说 乙 决定 哪些 属性 是 公开 的 ,哪些 是 作为 子 类 的 API, 哪 些 只 能 在 基 类 中 使 用 。 

以 下 是 Python 中 关于 继承 的 规范 : 

(1) 公共 属性 不 应 该 有 前 级 下 男 线 。 

(2) 如 果 公 共 属 性 名 和 关键 字 冲 突 , 应 在 属性 名 之 后 增加 一 个 下 夯 线 。 这 比 缩写 和 
随意 拼写 好 很 多 (当然 ,在 作为 参数 或 者 变量 时 ,cls 是 表示 类 的 最 好 的 选择 ,特别 是 作为 
类 方法 的 第 一 个 参数 时 ) 。 

(3) 对 于 单一 的 公有 属性 数据 ,最 好 直接 对 外 暴露 它 的 变量 名 ,而 不 是 通过 存 取 器 
(accessor)/ 突变 (mutator) 方 法 。 请 记 住 ,如 果 一 个 简单 的 属性 需要 扩展 为 一 个 功能 行 
为 ,Python 为 这 种 将 来 会 出 现 的 扩展 提供 了 一 个 简单 的 途径 。 在 这 种 情况 下 ,使 用 属性 
去 隐藏 属性 数据 访问 育 后 的 逻辑 。 

(4) 如 果 人 允许 一 个 类 被 继承 ,并且 这 个 类 里 有 不 和 希望 子 类 使 用 的 属性 ,就 要 考虑 使 用 
前 缀 双 下 夯 线 并 且 没 有 后 级 下 夯 线 的 命名 方式 。 这 会 调用 Python 的 命名 转换 算法 ,将 
类 名 加 入 属性 名 里 。 这 样 做 有 助 于 避免 在 子 类 中 不 小 心包 含 了 相同 的 属性 名 而 产生 的 
冲突 。 

3 公共 和 内 部 的 接口 

在 Python 中 ,公共 和 内 部 的 接口 应 齐 守 以 下 规范 : 

(1) 癌 后 莱 容 一 般 只 适用 于 公共 接口 ,因此 ,用 户 需 要 清晰 地 区 分 公共 接口 和 内 部 接 
口 。 文 档 化 的 接口 被 认为 是 公共 的 ,除非 文档 明确 声明 它们 是 临时 接口 或 内 部 接口 。 所 
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有 未 文档 化 的 接口 都 应 该 是 内 部 接口 。 

(2) 为 了 更 好 地 支持 内 省 (introspection) ,模块 应 该 使 用 _all 属性 显 式 地 在 它们 的 
公共 API 中 声明 名 称 。 

(3) 将 _all_ 设置 为 空 列表 ,表示 模块 没有 公共 API。 

(4) 即使 通过 all 进行 了 设置 ,内 部 接口 ( 包 ,模块 .类 方法、 属性 或 其 他 名 字 ) 依 
然 需要 单 下 面 线 前 级 。 

(5) 如 果 一 个 命名 空间 ( 包 、 模 块 . 类 ) 被 认为 是 内 部 的 ,那么 包含 它 的 接口 也 应 该 被 
认为 是 内 部 的 。 

634 函数 安全 

在 使 用 图 数 时 ,应 注意 可 能 产生 的 安全 问题 。 

1. ctypes 

ctypes 是 Python 的 一 个 外 部 库 , 它 提供 了 和 C 语言 兼容 的 数据 类 型 。 由 于 ctypes 
对 内 存 大 小 没有 限制 ,也 不 对 洲 出 进行 检查 ,在 32 位 和 64 位 操作 系统 上 都 可 能 造成 溢 
出 ,因此 , 宕 对 数据 的 有 效 性 和 洲 出 进行 检查 。 

208 

在 下 面 的 代码 中 ,os. utime(path, times) 的 功能 是 设置 对 应 文件 的 访问 (access) 和 修 
改 (modified) 时 间 ,时间 以 (Catime，mtime) 元 组 的 形式 传人 。 





os.Utime (TESTETIE, (- 2147483648, validtime)) 
stinfo = os.stat (TESTETIE) 





os.utime (TESTETIE, (- 2147483648, invalidtime)) 
stinfo =os.stat (TESTETIE) 
print (stinfo) 


上 面 的 代码 中 将 modified time 设置 得 过 大 ,会 产生 报 钳 。Modules 通 币 不 对 无 效 输 
入 进行 检验 或 者 测试 。 例 如 ,对 于 64 位 操作 系统 ,最 大 数 可 以 达到 2 ”一 1, 但 是 在 不 同 的 
情况 下 使 用 数值 会 造成 不 同 的 错误 ,任何 超出 有 效 边界 的 数值 都 会 造成 溢出 ,所 以 要 对 输 
入 的 数据 进行 检验 。 

3 len0 函 数 

WE 行 检查 ,也 不 使 用 python int objects。 当 对 象 可 能 包含 
一 个 “. length” 属 性 的 时 候 , 就 有 可 能 造成 溢出 错误 。 这 个 问题 的 解决 办 法 是 使 用 python 


Int wy 
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635 编程 建议 

在 使 用 Python 编程 时 ,应 注意 以 下 几 点 : 

(1) 在 编写 代码 时 需要 注意 不 能 影响 程序 在 其 他 Python (例如 PyPy、Jython、 
IronPython、Cython、Psyco 等 ) 中 的 应 用 。 例 如 ,不 要 依赖 于 在 CPython 中 高 效 的 内 置 字 
和 侍 连接 场 句 a 十 三 b 或 者 a 二 a 十 b, 因 为 这 些 语句 在 Jython 中 运行 得 很 慢 。 在 性 能 要 求 比 
较 高 的 库 中 ,应 该 改 用 "join() 语句 ,这 将 保证 程序 在 不 同 Python 中 运行 时 ,字符 串 的 连 
接 时 间 仅 取决 于 字符 串 的 长 度 。 

(2) 与 None 这 样 的 单 例 对 象 进 行 比较 时 ,应 该 始终 用 is 或 者 is not, 不 要 用 等 号 运 
算 御 。 写 if x 的 时 候 , 请 注意 需要 表达 的 意思 是 否 是 if x is not None。 例 如 , 当 测 试 一 个 
默认 值 为 None 的 变量 是 否 被 设置 为 其 他 值 时 ,这 里 的 其 他 值 应 该 在 上 下 文中 能 成 为 布 
尔 型 的 false。 应 该 使 用 is not 运算 符 ,而 不 是 not … is。 虽 然 这 两 种 表达 式 在 功能 上 人 完 
全 相同 ,但 前 者 更 易于 阅读 ,所 以 应 优先 考 夸 。 例 如 ,以 下 是 符合 规范 的 代码 : 


1 1if foo is not None: 
以 下 是 不 推荐 的 代码 ， 
1 1if not foo is None: 


(3) 当 使 用 比较 实现 排序 操作 的 时 候 , 最 好 使 用 下 列 6 个 操作 符 : ne 
oem 
冲突 。 

(4) 始终 使 用 def 未 达 式 ,而 不 是 通过 赋值 语句 将 lambda 表达 式 绑 定 到 一 个 变量 
上 。 例 如 ,以 下 是 符合 规范 的 代码 : 


1 def f(x): return 2#X 
1 f = lambda x: 2*x 


第 一 个 形式 意味 着 生成 的 函数 对 象 的 名 称 是 二 而 不 是 泛 型 <lambda> ,而 二 在 回 淹 
和 字符 串 显 示 的 时 候 更 有 用 。 而 赋值 语句 的 使 用 消除 了 lambda 表达 式 优 于 def 表达 式 
的 唯一 优势 ( 即 lambda 表达 式 可 以 内 肉 到 更 大 的 表达 式 中 )。 

(5) 设计 寞 第 的 等 级 时 ,要 基于 捕捉 异 当 代码 的 需要 ,而 不 是 异 律 抛 出 的 位 置 。 程 序 
员 应 该 以 编程 的 方式 回答 “出 了 什么 问题 ?”, 而 不 是 只 是 确认 “出 现 了 问题 "?。 当 捕获 了 异 
常 时 ,应 尽 可 能 写 上 具体 的 异常 名 ,而 不 是 只 用 一 个 except 代码 块 。 如 果 只 有 一 个 
except 代码 块 , 将 会 捕获 SystemExit 和 KeyboardInterrupt 异 第 ,这 样 就 很 难 通 过 按 
Ctrl 十 C 键 中 断 程序 ,而 且 会 掩盖 其 他 问题 。 如 果 想 捕获 所 有 指示 程序 出 销 的 异常 ,应 该 
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使 用 except Exception :的 形式 (只 有 except: 时 等 价 于 except BaseException: ) 。 

以 下 两 种 情况 不 应 该 只 使 用 except 代码 块 ， 

Q) 如 果 异 津 处 理 的 代码 会 打印 或 者 记录 日 志 。 

如 采 代 码 需要 做 清理 工作 ,使 用 raise-try-finally 能 很 好 地 处 理 这 种 情况 ,并 且 能 
让 异常 继续 上 浮 。 

(6) 当 需 要 给 捕捉 的 异 稼 绑 定 一 个 名 字 时 ,为 了 避免 和 原来 基于 去 号 分 隅 的 语法 出 
现 监 义 , 推 戎 使 用 在 Python 2. 6 中 加 入 的 显 式 命名 绑 定 语法 。 捕 捉 操 作 系统 的 销 误 时 ， 
推 存 使 用 Python 3. 3 中 errno 内 定数 值 指 定 的 异常 等 级 。 男 外 ,对 于 所 有 的 try-except 
语句 块 ,在 try 语句 中 只 填充 必要 的 代码 能 避免 掩 兽人 代 公 缺 陷 。 当 代码 片段 局 部 使 用 了 
示 个 质 源 的 时 候 , 使 用 with 或 try-finally 表达 式 来 确保 这 个 资源 使 用 完 后 被 清理 干净 。 

(7) 无 论 何 时 要 获取 和 释放 资源 ,部 应 该 通过 单独 的 函数 或 方法 调用 上 下 文 管理 笑 。 

(8) 返回 语句 应 保持 一 和 怪 。 函 数 中 的 返回 语句 或 者 部 应 该 返回 一 个 值 ,或 者 部 不 返 
器 伸 。 如 果 一 个 返回 语句 需要 返回 一 个 值 ,那么 在 没有 值 可 以 返回 的 情况 下 , 宕 要 用 
return None 显 式 指明 ,并且 在 图 数 的 最 后 显 式 指定 一 条 返回 场 名 。 

(9) 使 用 字符 串 方 法 代 符 字符 串 模 块 。 因 为 字符 串 方 法 总 是 更 快 ,并 且 和 Unicode 
字符 串 使 用 相同 的 API。 使 用 ". startswith() 和 ". endswith() 代 共通 过 字符 串 切割 的 方 
法 去 检查 前 级 和 后 级 。 因 为 startswith() 和 endswith() 出 错 概 紊 更 小 。 对 象 类 型 的 比较 
应 该 用 isinstance() 而 不 是 直接 比较 type 值 。 对 于 友 列 (包括 strings、lists 和 tuples) 来 
说 ,可 以 使 用 空 序列 为 false 的 情况 。 

(10) 书写 字符 串 时 ,在 转行 处 不 要 用 空格 分 隐 单 词 ,这 样 的 空格 无 法 看 到 ,有 些 编辑 
天 会 目 动 去 掉 这 些 空格 。 不 要 用 三 三 将 一 个 全 与 true 或 者 false 比较 。 
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第 7 者 
”软件 安全 测试 


随 者 信息 化 建设 的 加 快 ,软件 系 统 已 经 轿 兰 到 社会 生产 .生活 的 方方面面 ,但 随 之 产 
生 的 软件 安全 问题 也 日 超 产 重 。 因 此 ,软件 安全 测试 作为 验证 软件 征 否 满足 安全 要 求 的 
一 个 环 三 ,具有 人 至 关 重 要 的 作用 。 本 草 痛 先 介 绍 软件 安全 测试 的 基本 概念 ,其 次 阐述 软件 
安全 测试 的 流程 和 第 用 测试 方法 。 本 章 的 目标 是 带 助 谈 者 了 解 软 件 安全 测试 的 重要 性 ， 
明确 软件 安全 测试 过 程 及 作用 。 


7 了 1 安全 测试 概述 


安全 测试 是 鉴别 信息 系统 数据 你 护 和 功能 维护 的 过 程 。 安 全 测试 需要 普 盏 6 个 基本 
安全 概念 : 保密 性 .完整 性 、 权 限 ( 吴 份 验证 ) .授权 (权限 分 配 ) .可 用 性 .不 可 抵赖 性 。 随 
看 软件 系统 的 不 断 普 及 ,软件 安全 已 成 为 评判 软件 质量 的 一 个 重要 指标 ,软件 安全 测试 则 
成 为 验证 产品 是 否 满足 安全 要 求 的 一 个 重要 环节 ,并 为 管理 层 判断 产 品 是 否 可 以 发 布 提 
供 信 息 。 换 言 之 ,软件 安全 测试 是 在 产品 发 布 之 前 验证 系统 是 否 满足 安全 需求 ,同时 发 现 
系统 的 安全 漏洞 ,并 最 终 把 这 些 漏洞 的 数量 降 到 最 低 的 一 系列 过 程 。 

软件 安全 测试 的 定义 有 狭义 和 广义 之 分 。 狭 义 的 软件 安全 测试 是 系统 测试 中 的 软件 
安全 性 测试 , 指 的 是 执行 安全 测试 用 例 的 过 程 ; 广 义 的 软件 安全 测试 是 指 所 有 关于 安全 性 
测试 的 活动 , 它 员 竺 于 整个 软件 开发 生命 周期 ,并且 在 不 同 的 开 盈 阶段 采取 不 同 的 安全 测 
试 策略 和 方法 。 本 十 将 从 测试 对 象 .测试 目标 .测试 角度 .测试 方法 4 个 方面 ,对 广义 的 软 
件 安 全 测试 进行 评 细 阐述 。 


1 测试 对 象 

软件 安全 测试 的 对 象 不 能 简单 地 理解 为 代码 , 它 还 包括 与 软件 系统 相关 的 各 种 文档 。 
同时 软件 安全 测试 的 对 和 象 也 不 是 一 成 不 变 的 ,在 不 同 的 开发 阶段 ,有 不 同 的 测试 对 象 。 例 
如 ,在 需求 分 析 阶 段 , 软 件 安全 测试 需要 对 需求 文档 中 的 安全 需求 进行 评审 ;在 设计 阶段 ， 
软件 安全 测试 需要 对 设计 文档 攻击 面 分 析 、 威 胁 建 模 等 文档 进行 评估 ;在 编码 阶段 ,软件 
安全 测试 需要 对 源 代码 进行 审核 等 。 


2 测试 目标 

软件 安全 测试 的 根本 目标 是 保证 被 测 软 件 在 面临 恶意 攻击 时 仍 能 按照 可 接受 的 方式 
运行 。 具 体 来 说 ,在 软件 开发 生命 周期 的 各 个 阶段 进行 软件 安全 测试 ,以 期 通过 及 时 找到 
漏洞 并 进行 修复 来 降低 成 本 ,避免 在 软件 后 期 维护 中 进行 成 本 高 昂 的 补救 ,同时 提升 软件 
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的 安全 质量 ,为 度量 软件 的 安全 性 提供 数据 。 在 软件 开发 生命 周期 不 同 阶段 的 漏洞 修复 
代价 示例 如 图 7-1 所 示 。 
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需求 分 析 。 设计 ” 编 双 测试 维护 
软件 开发 生命 周期 的 阶 自 
图 7-1 软件 开发 生命 周期 不 同 阶段 的 漏洞 修复 代价 示例 


3 测试 角度 

软件 安全 测试 角度 与 传统 软件 测试 角度 有 本 质 上 的 不 同 。 后 者 注重 功能 性 测试 , 强 
调 软件 应 该 做 什么 ,主要 从 最 终 用 户 的 角度 出 发 发 现 缺 陷 并 进行 修复 ,确保 软件 的 功能 符 
合用 户 的 需求 ;前 者 注重 安全 性 测试 , 踢 调 软件 不 应 该 做 什么 ,主要 从 攻击 者 的 角度 出 发 
发 现 漏 洞 并 进行 修复 ,确保 软件 不 被 恶意 攻击 者 破坏 。 一 般 情况 下 ,普通 用 户 仅 会 使 用 软 
件 系 统 提供 的 基本 功能 ,恶意 攻击 者 则 会 通过 各 种 途径 寻找 软件 中 的 安全 源 洞 并 进行 攻 
击 性 操作 。 因 此 ,安全 测试 工程 师 需 要 以 恶意 攻击 者 的 思维 对 系统 进行 测试 ,例如 ,上 传 
可 执行 文件 至 服务 天 并 执行 ,或 越权 访问 系统 数据 等 。 

软件 安全 测试 与 传统 软件 测试 侧重 点 的 不 同 , 使 得 两 者 的 测试 用 例 也 有 所 不 同 。 传 
统 软件 测试 根据 功能 需求 和 其 他 开发 文档 等 ,从 用 户 角 度 设 计 测 试用 例 , 开 且 选 取 正 问 数 
据 作 为 测试 数据 ;软件 安全 测试 根据 安全 需求 、 攻 击 模 式 归 纳 以 及 已 公布 漠 洞 等 ,从 攻击 
者 角度 设计 测试 用 例 ,并 且 多 数 选取 反 回 数据 作为 测试 数据 。 其 中 , 正 回 数 据 指 用 户 输入 
的 正常 数据 ,反问 数据 指 攻 击 者 构造 的 具有 攻击 性 的 非法 数据 。 

在 安全 测试 中 ,安全 测试 工程 师 应 该 模拟 攻击 者 可 能 采取 的 所 有 攻击 方式 来 探测 系 
统 , 以 期 验证 系统 是 否 科 合 安全 需求 ,这 就 意味 者 安全 测试 受 限于 已 识别 的 漏洞 和 安全 测 
试 工程 师 的 安全 专业 知识 。 安 全 测试 在 更 多 的 时 低 测 试 的 是 有 反 回 的 宕 求 ,例如 , “攻击 者 
应 该 不 能 自 改 网 页 内 容 “ 未 授权 用 户 不 能 访问 数据 ”等 ;有 时 安全 测试 也 会 测试 正 问 的 需 
求 , 例 如 “客户 端 与 服务 右 问 通 信和 时 数据 必须 加 密 ”“ 三 次 登录 不 成 功 后 账户 将 被 锁 

4 测试 万 法 

根据 测试 重点 的 不 同 , 安 全 测试 方法 也 有 所 不 同 , 可 分 为 黑 盒 测试 ,日 盒 测试 和 灰 盒 
测试 3 种 。 
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黑 盒 测试 也 称 功能 测试 ,数据 驱动 测试 或 基于 规格 说 明 书 的 测试 ,是 一 种 从 用 户 观 点 
出 发 的 测试 ,例如 渗透 测试 。 在 安全 测试 中 ,把 程序 看 作 一 个 不 能 打开 的 黑 盒子 ,在 完全 
不 考虑 程序 内 部 结构 和 处 理 过 程 的 情况 下 ,在 程序 接口 进行 测试 , 它 只 检查 程序 功能 是 否 
按照 规格 说 明 书 的 要 求 正常 运行 ,程序 是 否 能 够 适当 地 接收 输入 数据 而 产生 相应 的 输出 ， 
黑 盒 测试 着 眼 于 程序 外 部 结构 ,不 考虑 内 部 馆 辑 结构 ,因此 它 对 测试 者 的 技术 要 求 不 高 ， 
但 是 无 法 发 现 外 部 特性 本 身 的 设计 问题 。 

白 盒 测试 也 称 结构 测试 .逻辑 驱动 测试 或 基于 代码 的 测试 ,是 针对 被 测 单元 内 部 是 如 
何 进行 工作 的 测试 ,例如 源 代码 分 析 。 在 安全 测试 中 ,把 程序 看 作 一 个 透明 的 盒子 ,检查 
程序 的 内 部 逻辑 结构 ,对 所 有 的 逻辑 路 径 进行 测试 ,分 析 程 序 的 实现 是 否 正确 。 白 盒 测 斌 
可 以 对 代码 进行 详细 审查 ,揭示 隐藏 在 代码 中 的 错误 ,但 是 它 成 本 昂贵 ,并 且 无 法 检测 代 
码 中 遗漏 的 路 径 和 数据 敏感 性 错误 ， 

灰 盒 测试 介 于 白 盒 测试 和 黑 盒 测 试 之 间 ,多 用 于 集成 测试 阶段 , 既 关注 输出 对 于 输入 
的 正确 性 ,又 关注 程序 内 部 逻辑 结构 。 灰 盒 测试 不 如 白 盒 测试 详细 、 完 整 ,但 比 黑 盒 测试 
更 关注 程序 的 内 部 逻辑 结构 ,常常 通过 一 些 表征 性 的 现象 .事件 ,标志 类 判断 内 部 的 运行 

在 实际 测试 过 程 中 ,通常 同时 使 用 黑 盒 测 试 和 白 盒 测试 进行 互补 测试 ,例如 ,通过 黑 
盒 测 试 找到 可 能 存在 的 漏洞 ,然后 进行 代码 审查 ,找到 最 终 问题 等。 


7 2 ”安全 测试 流程 


为 更 好 地 你 证 软件 安全 ,需要 制定 一 套 标 准 和 有 歼 的 流程 来 规范 安全 测试 活动 。 同 
时 ,为 提高 安全 测试 的 效率 ,可 以 将 安全 测试 和 PDCA 循环 进行 结合 。 本 市 将 评 细 并 述 
安全 测试 的 具体 流程 .原则 和 内 容 以 及 安全 测试 与 PDCA 循环 的 有 机 结合 。 


721 安全 测试 具体 流程 


在 实际 测试 过 程 中 ,软件 安全 测试 流程 一 般 包 括 以 下 4 个 阶段 : 计划 阶段 ,设计 阶 
段 ,执行 阶段 和 总 结 阶 段 。 


1 计划 阶段 

计划 阶段 是 安全 测试 流程 的 第 一 阶段 。 其 主要 工作 是 统 硅 规划 所 有 安全 测试 活动 ， 
并 根据 测试 计划 目标 制订 安全 测试 计划 。 

测试 计划 目标 在 IEEE 829 一 2008 软 件 测试 文档 标准 》 中 已 有 明确 的 定义 : 规定 测 
试 活动 的 玫 围 方法、 竣 源 和 进度 ;明确 正在 测试 的 项 目 、 要 测试 的 特性 、 要 执行 的 测试 任 
务 、 每 个 任务 的 负责 人 以 及 与 计划 相关 的 风险 。 因 此 ,在 计划 阶段 , 需 根据 项 目的 整体 计 
划 、 开 发 计划 、 安 全 计划 和 需求 文档 ,明确 需要 测试 的 安全 需求 和 安全 测试 环境 ,同时 完成 
测试 环境 搭建 活动 的 安排 和 跟踪 ,进而 形成 一 份 安全 测试 计划 文档 。 

安全 测试 计划 文档 的 内 容 主 要 包括 基本 简介 测试 需求 和 风险 、 测 试 阶段 和 类 型 .次 
源 、 里 程 碑 .可 交付 物 以 及 风险 7 个 部 分 。 各 部 分 具体 内 容 如 下 : 
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(1) 基本 何人 处 。 包 括 测 试 目的 `\ 测 试 表 景 .测试 泥 围 和 测试 依据 。 
(2) 测试 需求 和 风险 。 需 明确 在 基于 风险 的 安全 测试 案 略 下 的 需求 ,并 明确 需求 的 


优先 级 。 
(3) 测试 阶段 和 类 型 。 需 明确 在 单元 测试 .集成 测试 ,系统 测试 以 及 验收 测试 阶段 的 
测试 类 型 。 


(4) 资源 。 包 括 人 力 资 源 、 系 统 资源 和 测试 工具 。 

(5) 里 程 碑 。 需 明确 各 时 间 段 的 工作 内 容 和 人 员 安 排 。 

(6) 可 交付 物 。 需 明确 测试 之 后 需 交 付 的 相关 文档 。 

(7) 风险 。 需 明确 测试 过 程 中 可 能 过 到 的 风险 ,并 对 风险 进行 优先 级 划分 ,提出 有 效 
的 应 对 措施 。 

需要 注意 的 是 ,不 能 将 安全 测试 计划 简单 地 理解 为 一 份 文 档 , 它 更 是 一 个 过 程 ,一 个 
以 交流 软件 测试 小 组 意图 .期 望 以 及 对 将 要 执行 任务 的 理解 为 目的 的 过 程 。 只 有 明确 了 
这 一 点 ,才能 为 后 续 阶 段 奠定 坚实 的 基础 。 

2 设计 阶段 

设计 阶段 是 安全 测试 流程 的 第 二 阶段 。 该 阶段 需要 针对 不 同 测试 类 型 设计 不 同 的 测 
试 方案 。 一 般 情 况 下 ,根据 测试 类 型 的 不 同 , 可 将 测试 方案 分 为 两 类 。 第 一 类 是 对 功能 的 
安全 测试 ,可 设计 相应 的 测试 用 例 。 值 得 注意 的 是 : 在 设计 安全 测试 用 例 时 与 传统 软件 
测试 有 所 不 同 。 在 传统 软件 测试 中 ,测试 用 例 侧重 功能 实现 与 否 ;而 在 安全 测试 中 ,除了 
关注 功能 实现 与 否 之 外 ,还 需 关 注 安全 功能 实现 的 强度 和 安全 功能 实现 的 完备 性 ,例如 ， 
测试 日 志 记 录 功 能 实现 的 完备 性 。 第 二 类 是 渗透 测试 、 源 代码 分 析 等 具体 测试 方法 ,此 时 
则 需要 制订 具体 的 测试 方案 。 一 份 完 整 的 测试 用 例 主要 包括 用 例 描述 .操作 步骤 .预期 结 
东 和 执行 步骤 4 个 部 分 ,必要 时 需 增 添 测试 目的 .测试 前 置 条 件 等 项 目 。 

3 执行 阶段 

执行 阶段 是 安全 测试 流程 的 第 三 阶段 。 在 该 阶段 中 ,需要 执行 上 一 阶段 设计 的 测试 
用 例 和 测试 方案 ,并 记录 执行 的 绪 末 。 执 行 结果 可 分 为 通过 .失败 .阻止 和 不 文 持 4 种 ,如 
表 7-1 所 示 。 

表 7-1 执行 结果 及 含义 
执行 结 采 含 义 

通过 (pass) “| 执行 结果 和 预期 结果 一 致 
执行 续 果 和 预期 结果 不 一 致 , 需 判断 是 否 存在 漏洞 ,如 果 和 存在 漏洞 ,需要 在 漏洞 管理 
系统 中 提交 
阻止 (block) | 由 于 某 个 原因 导致 当前 用 例 无 法 执行 
不 支持 (na) ”| 当前 测试 环境 无 法 执行 当前 用 例 


失败 (fail) 


在 执行 安全 测试 过 程 中 ,如 采 执 行 结 采 与 预期 结 末 不 一 致 ,并 且 判 断 存在 漳 洞 , 则 需 
要 对 狂 润 进行 完整 记录 。 一 份 完整 的 狂 润 报告 需要 包括 标识 符 、 潮 润 质 述 . 产 重 性 和 优先 
级 4 部 分 内 容 , 具 体 含 义 如 下 : 
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(1) 标识 和 全: 识别 一 个 漏洞 的 唯一 编号 。 

(2) 漏洞 描述 : 发 现 漏 洞 过 程 的 详细 描述 。 

(3) 严重 性 : 漏洞 可 能 对 系统 造成 的 影 啊 。 

(4) 优先 级 : 漏洞 修复 的 优先 级 别 。 

其 中 ,判断 漏洞 优先 级 的 典型 方法 是 微软 公司 的 DREAD 模型 。DREAD 是 微软 公 
司 的 计算 机 安全 威胁 分 类 系统 中 的 一 个 计算 模型 。 

DREAD 评估 模型 最 初 用 于 评估 威胁 ,但 在 实际 应 用 中 远 不 止 如 此 。 每 一 项 评估 条 
日 包含 1 一 3 个 评分 标准 (其 中 1 最 低 ,3 最 高 ) ,根据 计算 后 的 结果 可 以 安排 安全 威胁 的 
解决 工作 优先 级 , 即 分 数 越 高 ,优先 级 别 越 高。 典型 的 威胁 评价 表 如 表 7-2 所 示 。 

表 7-2 暴 型 的 DREAD 模型 威胁 评价 表 


攻击 者 可 以 暗中 破坏 安 
全 系统 ,获取 完全 信任 的 
授权 ,以 管理 员 的 号 份 运 
行程 序 , 上 传 内 容 


泄露 敏感 信息 泄露 价值 不 高 的 信息 


攻击 每 次 可 以 重 现 ,但 只 在 
一 个 时 间 间 隔 和 一 个 特征 
的 元 争 条 件 下 才能 进行 


者 很 了 解 安 全 漏洞 


| 攻击 每 次 可 以 重 现 ,而 且 
重 现 性 不 需要 时 间 间 隔 
这 类 攻击 需要 经 验 丰富 
的 人 员 才能 进行 ,并 且 访 
人 员 应 该 对 每 次 攻击 都 
有 深入 的 了 解 

极 少 的 用 户 ,特点 不 明 
确 ,影响 匿名 用 户 


熟练 编程 人 员 可 以 进行 这 
类 攻击 ,然后 重复 进行 这 些 


编程 新 手 在 短 时 间 内 就 
可 以 进行 这 类 攻击 


可 利用 性 


所 有 的 用 户 ,默认 配置 ， 


主要 客户 部 分 用 户 , 非 默认 配置 


受 影响 用 户 数 
产品 中 较 少 使 用 部 分 的 缺 

陷 , 只 有 少量 的 用 户 可 能 遇 | 缺陷 不 明显 ,用 户 不 可 能 
到 。 判 断 是否 是 晋 意 使 用 | 遭受 潜在 的 损失 

需要 花费 一 些 时 间 


公开 解释 攻击 的 信息 。 
可 发 现 性 可 以 在 最 常用 功能 中 找 
到 的 缺陷 





可 以 使 用 简单 的 高 .中 、 低 级 别 区 分 威胁 的 优先 处 理 顺 序 , 例 如 ,将 总 分 为 12 一 15 的 
威胁 评价 为 高 级 威胁 ,将 总 分 为 8 一 11 的 威胁 评价 为 中 级 威 朋 ,将 总 分 为 5 一 7 的 威胁 评 
价 为 低级 威胁 。 如 采 攻 威胁 被 评价 为 蜗 , 说 明 其 对 软件 系统 造成 的 危险 很 大 ,需要 尽快 进 
行 处 理 ;如 来 折 威 胁 被 评价 为 中 ,也 需要 进行 处 理 , 但 优先 级 别 低 于 局 级 威胁 ;如 采 东 威胁 
伏 评 价 为 低 , 可 以 将 其 忽略 ,这 取决 于 处 理 该 威胁 所 需要 的 工作 量 和 成 本 。 


4 总 结 阶 段 
总 结 阶 段 是 安全 测试 流程 的 最 后 一 个 阶段 。 在 该 阶段 中 ,需要 报告 整个 安全 测试 活 
动 的 所 有 测试 过 程 和 测试 结果 ,与 预期 结果 进行 比 对 ,并 对 本 次 安全 测试 进行 评估 。 
722 安全 测试 具体 内 容 
Wh Ee 


安全 测试 用 于 验证 产品 是 否 符合 安全 需求 ,因此 ,根据 软件 系统 的 安全 需求 ,软件 安 
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全 测试 主要 包括 安全 功能 验证 .安全 策略 验证 .威胁 缓解 措施 验证 和 系统 实现 安全 验证 4 
个 方面 的 内 容 。 

1 安全 功能 验证 

安全 功能 指 为 了 系统 能 够 安全 运行 而 提供 的 必要 的 功能 ,例如 ,访问 控制 .加 密 算法 
和 运行 环境 等 。 但 得 注意 的 是 : 区 别 于 传统 测试 ,在 软件 安全 测试 中 ,安全 功能 的 实现 仅 
仅 是 第 一 层次 , 际 此 之 外 还 需要 验证 安全 功能 实现 的 强度 和 完备 性 。 其 中 ,安全 功能 实现 
验证 指 验证 定义 的 安全 功能 是 否 能 够 有 效 实 现 ;安全 功能 实现 强度 验证 指 在 安全 功能 
效 实现 的 基础 上 ,验证 安全 功能 的 强度 是 否 达 到 预期 要 求 , 例 如 ,用 户口 令 要 求 包 含 字 母 、 
数字 和 特殊 字符 三 种 类 型 ;安全 功能 实现 完备 性 验证 指 测试 是 否 存在 通过 其 他 渠道 降低 
安全 实现 的 强度 或 者 绕 过 安全 实现 的 功能 区 域 的 情况 。 在 实际 测试 过 程 中 ,可 通过 渗透 
测试 工具 发 现 SQL 注入 汤 洞 .XSS 洗 洞 等 安全 漏洞 。 渗 透 测 试 工具 种 类 索 多 , 币 见 的 有 
Wireshark、X-Scan、Metasploit、Sqglmap、Burpsuite 等 。 虽 然 渗 透 测试 工具 非常 多 ,通过 
信息 收集 ,能 够 帮助 测试 人 员 高 效 地 发 现 安全 漏洞 ,但 是 对 于 一 些 系 统 功能 上 的 漏洞 却 很 


难 通过 渗透 测试 工具 判断 ,因此 需要 软件 安全 测试 人 员 针 对 此 类 漏洞 设计 测试 用 例 用 于 
测试 执行 。 


2 安全 策略 验证 

安全 策略 指 在 某 个 安全 区 域内 (通常 指 属于 某 个 组 织 的 一 系列 处 理 和 通信 资源 ) 用 于 
所 有 与 安全 相关 的 活动 的 一 套 规则 。 在 软件 安全 测试 中 ,安全 策略 主要 指针 对 整体 的 安 
全 威胁 和 缓解 措施 规定 的 整体 安全 策略 ,例如 ,如 何 进行 会 话 管理 .日 志 管 理 等 。 同 样 ,在 
安全 案 略 验证 过 程 中 ,测试 人 员 需 要 宪 成 两 方面 的 测试 工作 : 前 先是 安全 束 上 略 的 实现 验 
证 ,分 析 规 定 的 安全 策略 在 各 个 测试 层 是 耕 有 效 实 现 ; 其 次 是 安全 束 上 略 的 实现 完备 性 验 
证 ,测试 是 否 有 其 他 方式 绕 过 安全 束 略 ,进而 对 软件 系统 造成 威胁 。 


3 威胁 缓解 措施 验证 

软件 威胁 建 模 作为 一 种 应 用 风险 评估 技术 ,可 以 帮助 系统 设计 师 思考 系统 或 应 用 程 
序 可 能 面临 的 安全 威胁 。 在 实际 应 用 中 , 它 能 有 效 带 助 系统 设计 师 开 发 出 缓解 淤 在 的 漏 
洞 威胁 的 蛇 略 ,并 帮助 他 们 将 有 限 的 资源 和 注意 力 集中 在 系统 中 最 需要 进行 安全 测试 的 
部 分 。 威 胁 缓 解 措 施 则 是 针对 威胁 建 模 中 发 现 的 威胁 而 提出 的 解决 方案 。 威 胁 缓解 措施 
验证 包括 两 个 部 分 : 缓解 措施 实现 的 验证 和 缓解 措施 实现 的 完备 性 验证 。 其 中 ,缓解 措 
施 的 实现 验证 测试 缓解 措施 是 否 有 戏 ; 缕 解 指 施 完备 性 验证 测试 是 否 有 其 他 途径 可 以 纯 
过 缓解 措施 ,使 用 此 缓解 措施 是 否 会 引起 其 他 的 安全 问题 。 


4 系统 实现 安全 验证 
系统 实现 安全 验证 用 于 测试 整个 系统 的 实现 是 否 安全 ,是否 存在 严重 的 安全 潮 洞 ,是 
从 整体 上 对 系统 进行 的 安全 测试 。 软 件 安全 测试 的 内 容 往往 非常 多 ,实际 上 ,对 系统 中 所 
有 部 分 进行 安全 测试 也 许 在 时 间 和 成 本 上 是 不 可 行 的 ,因此 需要 对 每 一 部 分 进行 威胁 评 
估 。 首 先 对 威胁 较 大 的 部 分 进行 安全 测试 ,再 对 其 他 部 分 进行 安全 测试 ,并 且 可 通过 决策 
忽略 一 些 部 分 ,因为 其 威胁 发 生 的 概率 很 小 ,即使 发 生 , 市 来 的 损失 也 很 小 。 威 胁 评 信 过 
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程 采 用 以 下 公式 评估 危险 的 大 小 : 
危险 三 威胁 发 生 的 概 座 XxX 潜 在 的 损失 
该 公式 表明 ,特定 威胁 造成 的 危险 等 于 威胁 友 生 的 概率 瑟 以 济 在 的 损失 ,这 表明 了 如 
来 攻击 发 生 将 会 对 系统 造成 的 影响 。 通 过 威胁 评 信 进 行 决 东 , 实 现 软 件 安全 测试 活动 的 
局 戏 执行 。 


723 ”安全 测试 原则 


软件 的 不 安全 问题 也 许 是 这 个 时 代 最 为 重要 的 技术 挑战 。 安 全 问题 是 目前 制约 信息 
技术 发 展 的 关键 。 为 更 好 地 指导 对 软件 系统 安全 性 的 验证 ,OWASP 在 测试 指责 中 忌 结 
了 多 项 软件 安全 测试 应 遵循 的 基本 原则 ,具体 如 下 : 

(1) 安全 是 一 个 过 程 ,不 是 某 个 产品 。 当 开发 者 在 面 对 安 全 扫描 冀 或 应 用 防火 墙 既 
不 能 提供 各 类 攻击 防御 措施 也 无 法 辨别 各 类 安全 威胁 的 问题 的 时 候 , 应 该 明日 并 不 存在 
一 步 就 能 解决 不 安全 软件 问题 的 方法 。 安 全 不 是 一 践 而 就 的 ,人 它 需 要 一 个 漫长 的 过 程 ，。 

(2) 有 组 织 、 有 计划 地 进行 软件 安全 测试 。 将 安全 融入 软件 开发 生命 周期 的 每 一 个 
阶段 ,制订 话 细 的 软件 安全 测试 计划 ,并且 严格 按照 计划 进行 。 

(3) 应 及 早 进行 软件 安全 测试 ,并 进行 频 楷 测试 。 在 软件 开发 生命 周期 中 尽早 查 出 
汤 洞 ,可 以 使 源 润 蕊 速 地 被 修补 并 且 人 花费 较 低 的 成 本 。 

(4) 明确 项 目的 安全 范围 。 对 宕 要 被 保护 的 资料 和 资产 应 予以 分 类 并 分 别 确定 处 理 
方式 ,例如 ,将 需要 被 保护 的 贤 料 和 资产 分 为 保密 (Confidential) ,秘密 (Secret) 和 绝密 
(Top Secret)3 个 级 别 。 

(5) 测试 人 员 应 形成 创造 性 思维 。 在 正常 模式 下 对 应 用 程序 的 正常 行为 进行 测试 仅 
适用 于 用 户 按照 开发 人 员 所 预期 的 规则 来 使 用 应 用 程序 的 情况 ,因此 成 功 地 测试 一 个 应 
用 程序 的 安全 漏 润 青 要 创造 性 思维 。 民 好 的 安全 测试 需要 测试 人 员 拥 有 创新 思想 ,从 亚 
意 攻 击 者 的 角度 思考 ,从 而 发 现 安全 漏洞 。 

(6) 合理 安排 模块 测试 优先 级 。 在 有 限 的 时 间 和 资源 条 件 下 ,进行 完全 测试 , 找 出 软 
件 的 所 有 缺陷 是 不 可 能 的 ,应 该 通过 威胁 建 模 等 方法 优先 测试 高 风险 模块 。 

(7) 适当 情况 下 使 用 源 代码 。 为 更 好 地 确保 软件 系统 的 安全 ,在 适当 情况 下 ,应 考虑 
将 源 代 码 移交 给 安全 测试 人 员 以 帮助 其 进行 测试 工作 。 

(8) 对 测试 结 采 进行 文档 记录 。 形 成 一 份 完整 的 测试 报告 ,包括 测试 人 员 、 测 试 时 
间 ,测试 行为 .测试 结 采 等 , 明 硝 指 出 软件 系统 存在 的 安全 狂 洞 ,以 文 持 后 疆 的 独 洞 排 得 行 
为 。 同 时 ,值得 注意 的 是 ,测试 报告 需 明 确 指 出 安全 泌 洞 的 影响 以 及 解决 方案 。 


724 ” PDCA 循环 


齐 循 软件 安全 测试 流程 4 个 阶段 的 要 求 及 相关 原则 ,能 够 有 效 地 计划 组织 .实施 所 
有 测试 相关 活动 ,但 无 法 对 测试 流程 进行 改进 ,因此 ,可 结合 PDCA 循环 ,根据 上 一 阶段 
的 评 佑 结果 实现 对 测试 流程 的 改进 。 
PDCA 循环 是 基于 过 程 方法 制定 的 一 种 持续 改进 模型 ,又 称 戴 明 环 。 该 模型 最 初 由 
美国 质量 管理 专家 哈 特 休 博 士 提出 ,后 由 美国 质量 管理 专家 戴 明 博士 再 度 挖掘 ,并 作为 全 
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面 质量 管理 的 思想 基础 和 方法 依据 加 以 推广 ,使 PDCA 模型 得 到 广泛 应 用 。PDCA 由 英 
文 单词 Plan .Do、Check 和 Act 的 首 字 母 组 合 而 成 ,因此 ,PDCA 循环 是 将 质量 管理 分 为 4 
个 阶段 , 即 计 划 (Plan) .执行 (Do) ,检查 CCheck) 和 处 理 (Act) ,各 阶段 具体 工作 如 下 ; 

(1) 计划 。 评 估 当 前 状况 ,针对 现状 发 现 问题 ,分 析 产生 问题 的 原因 ,建立 必要 的 活 
动 目标 ,制订 有 效 的 计划 和 对 策 。 

(2) 执行 。 按 照 预 定 的 计划 和 标准 ,根据 已 知 的 内 外 部 信息 ,设计 具体 的 行动 方案 ， 
进行 布局 ,再 根据 设计 方案 和 布局 进行 具体 操作 ,努力 实现 预期 目标 。 

(3) 检查 。 评 估 行 动 方案 的 效果 ,对 方案 执行 结果 进行 总 结 分 析 ,并 与 目标 值 进 行 比 
较 , 分 析 是 否 达 到 预定 目标 。 

(4) 处 理 。 根 据 检查 结果 ,采取 相应 措施 ,对 已 被 证 明 的 有 效 措施 进行 标准 化 ,将 仍 
存在 的 问题 转 人 下 一 个 PDCA 循环 解决 。 

PDCA 模型 不 仅 适 用 于 质量 管理 工作 ,同样 也 适用 于 其 他 各 项 管理 工作 。 该 模型 在 
应 用 时 ,计划 ,执行 .检查 和 处 理 4 个 阶段 并 不 是 运行 一 次 就 完结 ,而 是 周而复始 地 运行 。 
具体 来 说 ,按照 P->D->C->A 的 顺序 依次 执行 ,一 次 完整 的 PDCA 循环 可 以 看 作 组 织 管 
理 上 的 一 个 周期 ,每 经 过 一 次 PDCA 循环 ,组 织 管理 体系 就 会 得 到 一 定 程度 的 完善 ,同时 
进入 下 一 个 更 高 层次 的 管理 周期 。 通 过 持续 不 断 的 PDCA 循环 ,组 织 管 理 体 系 得 到 持续 






第 z 次 循环 


PDCA 人 循环 作为 一 种 广泛 应 用 的 管理 工作 方法 ,具有 以 下 三 大 特 反 : 

(1) 依 序 进 行 ,循环 运转 。PDCA 循环 重组 织 的 力量 来 推动 , 按 顺 序 完 成 每 一 阶段 的 
工作 ,不 断 前 进 ;与 此 同时 ,周而复始 ,不 断 循环 。 

(2) 大 环 套 小 环 ,小 环 你 大 环 ,相互 制约 ,相互 补充 。 上 一 级 循环 是 下 一 级 循环 的 依 
据 , 下 一 级 循环 是 上 一 级 循环 的 组 成 部 分 ,也 是 上 一 级 循环 的 落实 和 具体 化 。 也 就 是 说 ， 
PDCA 人 循环 通过 各 个 小 循环 的 不 断 运转 ,将 组 织 的 定理 工作 有 机 地 结合 起 来 。 

(3) 不 断 前 进 ,不 断 提高 。PDCA 循环 每 执行 一 次 丈 上 升 一 个 台阶 ,犹如 扑 楼 梯 。 每 
经 过 一 次 循环 ,一些 问题 丈 会 得 到 解决 ,质量 和 管理 水 平 也 会 上 升 一 个 蜗 度 ,同时 进行 总 
结 , 提 出 新 的 目标 ,在 新 的 基础 上 继续 PDCA 循环 。 如 此 周而复始 ,不 断 解决 问题 ,质量 
和 管理 水 平 不 断 得 到 改进 和 提高 。 

在 安全 测试 活动 中 ,制订 安全 测试 计划 对 应 PDCA 中 的 计划 阶段 ;按照 计划 要 求 执 
行 测试 ,包括 设计 阶段 和 执行 测试 阶段 ,对 应 PDCA 中 的 执行 阶段 ;总 结 报告 ,对 各 种 文 
档 和 测试 结果 进行 评估 ,对 应 PDCA 中 的 检查 阶段 ;根据 上 一 阶段 的 评估 结 采 进行 流程 
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改进 对 应 PDCA 中 的 执行 阶段 。 将 安全 测试 活动 与 PDCA 循环 进行 结合 ,有 利于 提 噩 安 
全 测试 的 质量 和 效率 ,更 好 地 保证 软件 安全 。 


7 3 ”安全 测试 技术 


在 软件 安全 测试 过 程 中 需要 用 到 不 同 的 技术 ,合理 运用 安全 测试 技术 ,能 够 有 将 地 提 
升 测试 效率 和 测试 质量 。 津 见 的 软件 安全 测试 拉 术 有 人 工 审 查 、 代 码 分 析 模糊 测试 和 渗 
透 测 试 。 本 地 对 这 4 种 测试 技术 进行 详细 介绍 。 


731 人 工 审查 


人 工 审查 是 在 安全 测试 过 程 中 通过 人 工 审 核 的 方式 对 应 用 开发 过 程 中 的 人 、 策 略 和 
进程 ,包括 撤 术 决 案 和 开发 模型 设计 ,进行 安全 检测 。 人 工 审 碍 通 音 采取 文件 分 析 法 , 包 
括 分 析 安 全 腰 略 .安全 需求 .威胁 建 模 文档 等 ,也 可 以 用 对 设计 师 以 及 系统 所 有 者 进行 访 
谈 的 方式 进行 。 虽 然 人 工 审 得 和 人 员 访 谈 这 两 个 概念 十 分 和 商 单 ,但 是 它们 的 确 征 最 蝇 大 、 
最 有 效 的 可 用 技术 。 通 过 询问 别人 一 件 事 如 何 运 行 , 为 什么 采用 当前 的 运行 模式 ,能够 帮 
助 测试 痢 快速 确定 是 否 人 存在 显 而 多 见 的 安全 问题 。 人 工 审查 是 在 软件 开发 生命 周期 过 程 
中 对 软件 进行 测试 并 确保 其 实现 安全 策略 和 安全 需求 的 为 数 不 多 的 途径 之 一 。 但 值得 注 
意 的 是 : 在 进行 人 工 审查 的 过 程 中 ,建议 使 用 “信任 但 必须 验证 ”的 模式 ,因为 并 不 是 每 个 
人 告诉 或 展示 给 测试 人 员 的 每 件 事 部 是 准确 的 。 人 工 审 查 对 测试 人 员 对 安全 进程 和 安全 
琐 上 略 的 了 解 以 及 专业 安全 知识 和 技能 有 较 高 要 求 ,并 且 测 试 人 员 需 要 有 前 期 充分 的 准备 ， 
才能 在 审查 过 程 中 发 现 更 多 的 安全 缺陷 。 人 工 审查 具有 使 用 灵活 、 适 用 范围 广泛 等 特点 ， 
这 些 特 点 使 其 在 代码 安全 末 略 、 安 全 要 求 .构架 设计 等 文件 的 审核 中 也 能 发 挥 重 要 作用 。 


732 代码 分 析 


许多 严重 的 安全 漏洞 不 能 被 任何 其 他 形式 的 分 析 或 测试 技术 检测 到 。 几 乎 所 有 的 安 
全 专家 一 致 认为 ,没有 任何 检测 方法 可 以 取代 代码 分 析 。 代 码 分 析 有 利于 发 现 以 下 安全 
问题 , 并 发 的 问题 ,有 人 缺 陷 的 业务 逻辑 ,访问 控制 的 问题 ,后 门 ,森马 等 其 他 形式 的 恶意 代 
码 。 同 时 ,代码 分 析 对 于 查找 可 能 存在 的 执行 问题 ,例如 某 个 需要 输入 验证 的 地 方 不 能 有 
效 执行 或 打开 控制 进程 失败 ,是 十 分 有 效 的 。 

根据 分 析 条 件 的 不 同 ,代码 分 析 技术 可 分 为 两 类 : 静态 代码 分 析 技术 和 动态 程序 分 
析 技 术 。 静 态 代码 分 析 技术 是 在 不 执行 计算 机 程序 的 情况 下 对 代码 进行 的 分 析 , 动 态 各 
序 分 析 技 术 则 是 通过 在 真实 或 虚拟 处 理 器 上 运行 程序 并 利用 计算 机 软件 进行 分 析 的 
方法 ， 

1 评 态 代码 分 析 

静态 代码 分 析 主 要 用 在 某 版 本 程序 源 代码 的 分 析 上 ,也 可 以 用 在 对 象 代码 的 分 析 上 。 
与 此 同时 ,静态 代码 分 析 使 用 自动 化 工具 进行 测试 ,因此 , 它 可 以 使 用 比 开发 者 更 多 的 安 
全 知识 更 频繁 地 进行 测试 。 静 态 代 码 分 析 的 流程 如 图 7-3 所 示 , 可 总 结 为 3 个 阶段 : 输入 
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( 源 代码 ) ,测试 ( 谢 态 分 析 ) 以 及 辆 出 (确认 浴 在 的 缺陷 )。 其 中 ,在 输入 阶段 , 通 第 将 源 代 
但 作为 输入 对 象 ;在 测试 阶段 ,已 经 获得 软件 将 要 执 行 的 命令 ,能 够 准确 定位 有 问题 的 代 
码 , 并 且 软 件 开发 者 能 够 在 代码 审查 之 机 执行 代码 ;在 辆 出 阶段 ,确认 XSS 汤 洞 .SQL 注 
入 漏洞 等 映 陷 以 及 与 应 用 程序 相关 的 配置 销 误 和 钉 丁 销 误 ,限定 问题 的 范围 ,确认 操作 环 
境 或 运行 时 的 源 洞 。 












7-3 静态 代码 分 析 流 程 


静态 代码 分 析 技 术 大 多 以 编译 技术 或 程序 验证 技术 为 基础 ,目前 第 见 的 静态 代码 分 
析 拉 术 主 要 包括 词法 分 析 拉 术 、 抽 象 解释 拉 术 .程序 模拟 技术 以 及 定理 证 明 拉 术 。 

1) 词法 分 析 技 术 

间 法 分 析 只 对 代码 的 文本 或 Token 流 与 已 经 归纳 好 的 缺陷 模式 进行 相似 性 匹配 ,不 
深入 分 析 代 码 的 语义 和 代码 上 下 文 。 词 法 分 析 技术 检测 效率 较 高 ,但 是 只 能 找到 简单 的 
缺陷 ,并 且 误 报 率 较 高 。 

2) 抽象 解释 技术 

抽象 解释 技术 的 基本 原理 是 将 程序 变量 的 值 映 射 到 更 加 简单 的 抽象 域 上 并 模拟 程序 
的 执行 情况 。 因 此 ,该 技术 的 精度 和 性 能 取决 于 抽象 域 对 真实 程序 值 域 的 近似 情况 。 值 
得 注意 的 是 : 此 类 技术 可 用 于 证 明 一 段 代 码 没 有 错误 ,但 不 保证 其 报告 的 错误 的 真实 性 。 

3) 程序 模拟 技术 

程序 模拟 技术 模拟 程序 执行 ,得 到 所 有 执行 状态 ,分 析 结 打 较 为 精确 ,但 性 能 提高 难 
度 大 ,主要 用 于 查找 逻辑 复杂 和 触发 条 件 苛 刻 的 缺陷 。 程 序 模拟 技术 主要 包括 模型 检查 
和 符号 执行 两 种 技术 。 其 中 ,模型 检查 技术 将 软件 构造 为 状态 机 或 者 有 问 图 等 抽象 模型 ， 
并 使 用 模 态 /时 序 逻 和 辑 公 式 等 形式 化 的 表达 式 来 撒 述 安全 属性 ,对 模型 进行 过 历 以 验证 这 
些 属性 是 否 满足 ;符号 执行 技术 使 用 符号 值 表示 程序 变量 值 ,并 模拟 程序 的 执行 以 查找 满 
足 漏洞 检测 规则 的 情况 。 

4) 定理 证 明 技 术 

定理 证 明 技 术 将 程序 错误 的 前 提 和 程序 本 和 映 描 述 成 一 组 逻辑 表达 式 , 然 后 基于 可 满 
足 性 理论 并 利用 约束 求解 硕 求 得 可 能 导致 程序 钳 误 的 执行 路 径 。 此 类 技术 具有 较 高 的 灵 
活性 ,能 够 使 用 逻辑 公式 有 效 摘 述 软件 缺陷 ,并 可 根据 分 析 性 能 和 精度 的 不 同 要 求 调整 约 
束 条 件 , 对 于 大 型 工业 级 软件 的 分 析 较 为 有 效 。 

静态 代码 分 析 提 供 代码 行 级 别 的 检测 ,确保 开发 组 可 以 迅速 修复 安全 漏洞 。 其 成 
功 的 关键 因素 是 静态 分 析 工 具 的 使 用 。 不 同 静态 代码 分 析 工 具 的 具体 实现 和 工作 原 
理 不 尽 一 致 ,但 其 核心 都 是 在 规则 库 的 作用 下 识别 漏洞 ,如 图 7-4 所 示 。 其 中 ,规则 库 
是 影响 静态 分 析 效 果 的 重要 因素 ,也 是 静态 分 析 工 具 选 取 时 的 主要 考察 内 容 之 一 ,如 
果 规 则 库 内 容 全 面 且 设置 合理 , 则 汤 报 \ 误 报 相 对 较 少 。 与 此 同时 ,使 用 静态 代码 分 析 
工具 的 男 一 个 挑战 是 , 当 分 析 一 个 与 闭 源 组 件 或 外 部 系统 进行 交互 的 应 用 时 , 误 报 往 
往 会 写 在 报告 中 ,由 于 没有 源 代码 ,不 可 能 对 外 部 系统 中 的 数据 流 进行 跟踪 并 确保 数 
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据 的 整体 性 和 安全 性 。 





分 析 工 具 


源 代 码 


注入 漏洞 被 OWASP 列 和 十 大 安全 漏洞 列表 中 。 注 人 漏洞 发 生 的 原因 是 不 可 信 数 
据 作 为 结构 化 的 命令 未 经 确认 就 直接 用 来 查询 。 注 和 人 漏洞 有 不 同 的 类 别 , 如 SQL 注入 漏 
洞 .OS 注入 漏洞 和 LDAP 注入 漏洞 。 如 果 直 接 用 用 户 输入 构建 一 个 SQL 查询 ,SQL 注 
人 攻击 就 会 成 功 。 
以 下 是 一 个 通过 静态 代码 分 析 发 现 SQL 注入 漏洞 的 例子 。 用 户 检 查 他 账户 的 细节 。 
应 用 程序 需要 用 他 的 用 户 id 或 标识 符 从 后 端 数据 库 查 询 账 户 信 息 。 应 用 程序 可 以 通过 
一 个 URL 链接 参数 绕 过 身份 鉴别 过 程 ,例如 .: 


http://exanple.com/advise/usei 


Ep A account id 为 1007, 并 使 用 这 个 id 获取 数据 库 的 信息 


7-4 静态 分 析 工 具 工 作 流 程 图 





mt?accomt jd 100 


accountID= "+ request .getParameter ("account id")+"™""; 


如 果 恶 意 用 户 将 参数 的 值 改 为 or1'=1 ,最 终生 成 的 SQL 语句 将 会 变 成 





SETPCT ¥ FROM accounts WHERE acocountID= ”or 1 一; 


1 一" nucle edt edi 恩 。 这 显然 不 是 开发 者 的 意 
图 ,但 是 利用 可 信用 户 输 入 建立 查询 , 晋 意 用 户 就 可 以 执行 任意 数据 库 命 令 。 


2 动态 程序 分 析 

动态 程序 分 析 技 术 在 软件 逆向 工程 领域 也 是 一 个 非常 热门 的 概念 , 它 是 与 静态 分 析 
技术 相对 而 言 的 , 指 通过 观察 程序 的 运行 过 程 中 的 状态 ,如 寄存 硕 内 容 、 图 数 执行 结果 ,内 
存 使 用 情况 等 ,分 析 图 数 功能 ,明确 代码 逻辑 ,挖掘 可 能 存在 的 油 洞 。 

逆 回 工程 又 称 逆 问 拉 术 , 是 一 种 产品 设计 技术 由 现 过 程 , 即 对 一 项 目标 产品 进行 逆 问 
分 析 及 人 研究 ,从 而 推导 并 得 出 该 产品 的 处 理 流程 .组 织 结 构 、 功 能 特性 及 技术 规格 等 设计 
要 素 , 以 制作 出 功能 相近 ,但 又 不 完全 一 样 的 产品 。 逆 加 工程 源 于 商业 及 和 军事 领域 中 的 硬 
件 分 析 。 其 主要 目的 是 在 不 能 轻易 获得 必要 的 生产 信息 的 情况 下 ， 直接 从 成 品 分 析 人 手 ， 
推导 出 产品 的 设计 原理 。 
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随 春 计算 机 技术 在 各 个 领域 的 广 记 应 用 ,特别 是 软件 开发 技术 的 还 独 发 展 , 基 于 未 
个 软件 ,以 反 汇 编 阅 读 源码 的 方式 去 推断 其 数据 结构 ,体系 结构 和 程序 设计 信息 成 为 
软件 逆 丫 工程 技术 关注 的 主要 对 象 。 软 件 逆 回 拉 术 的 目的 是 饶 究 和 学习 先进 的 技术 ， 
特别 是 当 于 里 没有 合适 的 文档 贰 料 ,而 又 很 需要 实现 茶 个 软件 的 功能 的 时 候 。 也 正 因 
为 这 样 ,很 多 软件 供应 商 为 了 垄断 技术 ,在 软件 安装 之 前 ,要 求 用 户 同 意 不 对 其 进行 逆 
癌 人 研究 。 

动态 程序 分 析 可 分 为 3 个 阶段 : 输入 (不 需要 源 代码 ) ,测试 (动态 分 析 ) 以 及 输出 ( 确 
认 浴 在 的 缺陷 )。 其 中 ,在 输入 阶段 ,只 宕 要 运行 应 用 程序 ,进行 基础 设施 或 操作 配置 ,无 
须 源 代码 ;在 测试 阶段 ,不 需要 获得 所 有 软件 将 要 执行 的 实际 指令 ,不 能 定位 问题 代码 , 害 
在 操作 环境 下 执行 ;在 输出 阶段 ,确认 缓冲 区 溢出 SQL 注入 汤 洞 .XSS 漏洞 .内存 泄 漏 、 
哗 密 码 等 缺陷 ,无 法 发 现 运行 时 环境 或 操作 配置 引入 的 安全 狂 洞 ,无 法 发 现 验证 问题 . 业 
务 迎 辑 缺 陷 或 不 安全 的 加 蜜 问题。 动态 程序 分 析 流 程 如 图 7-5 所 示 。 





图 7-5 动态 程序 分 析 流 程 


在 软件 安全 测试 阶段 ,根据 不 同类 型 的 测试 方法 和 测试 案 略 ,可 将 动态 分 析 分 为 4 种 
测试 类 型 单元 测试 、 集 成 测试 、 系 统 测试 验收 测试 。 单 元 测试 是 对 软件 单元 ,模块 或 于 
程序 的 结构 性 或 功能 进行 的 测试 。 其 中 , 绪 构 性 测试 检测 软件 单元 的 逻辑 ,用 来 文 持 测试 
睹 兰 的 需求 一 一 程序 有 多 大 程度 被 执行 ;功能 性 测试 评估 软件 实现 了 多 少 软 件 需求 。 集 
成 测试 是 在 软件 系统 集成 过 程 中 进行 的 测试 ,其 主要 目的 是 检查 软件 单元 之 则 的 接口 是 
否 正确 。 系 统 测 试 是 对 已 经 集成 好 的 软件 系统 进行 彻底 的 测试 ,以 验证 软件 系统 的 正确 
性 和 性 能 等 满足 其 规约 所 指定 的 要 求 。 验 收 测试 是 技术 测试 的 最 后 一 个 阶段 ,也 称 为 交 
付 测试 , 是 在 软件 产品 完成 了 单元 测试 ,集成 测试 和 系统 测试 之 后 ,产品 发 布 之 前 所 进行 
的 软件 测试 活动 ,其 目的 是 确 你 软件 准备 就 绪 , 并 且 可 以 让 最 终 用 户 将 其 用 于 执行 软件 的 
既定 功能 和 任务 。 

动态 测试 形式 使 动态 程序 分 析 具 有 检测 出 静态 代码 分 析 检 测 不 到 的 依赖 关系 的 能 
力 。 例 如 ,动态 依赖 使 用 反射 依赖 注入 等 ,也 可 验证 静态 代码 分 析 的 结果 。 与 此 同时 ,可 
以 使 用 目 动 化 工具 来 提高 扫描 的 灵活 性 ,允许 分 析 看 不 到 源 代 码 的 应 用 程序 ,可 在 任何 应 
用 程序 上 执行 。 但 动态 程序 分 析 也 有 其 局 限 性 ,日 动 化 工具 只 能 达到 扫描 规则 的 水 平 ,会 
存在 误 报 和 测报 ,同时 将 安全 漏洞 回溯 到 代码 中 精确 位 置 较为 困难 ,需要 花费 较 多 时 间 来 
修复 问题 。 在 实际 测试 过 程 中 ,将 静态 代码 分 析 与 动态 程序 分 析 结 合 使 用 能 有 效 提 高 测 
试 效 采 。 


733 模糊 测试 


模糊 测试 (fuzz testing) 是 一 种 软件 安全 测试 技术 。 它 在 测试 方法 分 类 中 可 归于 黑 鲍 
测试 和 灰 盒 测试 领域 。 它 通过 监视 非 预 期 输入 可 能 产生 的 异常 结果 来 发 现 软件 问题 ,其 
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核心 思想 是 目 动 或 半 目 动 地 生成 随机 数据 ,输入 程序 中 ,记录 程序 异常 ,如 月 沉 、 源 言 失败 
等 ,从 而 对 程序 内 部 的 缺陷 做 出 判断 ,例如 内 存 汇 汤 。 模 糊 测 试 最 早 是 由 威斯康星 大 学 
Barton Miller 教授 于 1988 年 提出 的 ,他 用 一 个 纯 随机 的 模糊 各 测试 UNIX 程序 的 健 
壮 性 。 


1 模糊 测试 的 特 操 

模糊 测试 介 于 完全 于 工 测 试 和 完全 目 动 化 测试 之 间 。 在 完全 手工 测试 中 ,测试 人 员 
需 模 拟 墨 客 行为 ,对 系统 执行 恶意 操作 ,从 而 发 现 狂 洞 ,这 对 测试 人 员 的 要 求 较 局 ,因而 宛 
全 手工 测试 对 测试 人 员 能 力 的 依赖 性 较 强 ,成 本 较 融 ,难以 大 规模 实现 ;在 完全 目 动 化 测 
试 中 ,各 个 产品 的 需求 .实现 .功能 等 都 有 所 不 同 , 同 一 套 测 试用 例 和 方法 无 法 不 加 修改 地 
用 于 不 同 的 产品 ,因此 在 测试 过 程 中 , 仍 需 测试 人 员 介 入 ,分析 络 采 、 判 断 漏 洞 等 。 在 这 种 
情况 下 ,模糊 测试 得 以 发 挥 重要 作用 。 

在 模糊 测试 中 ,文件 格式 和 网 络 协议 是 稼 见 的 测试 对 象 。 与 此 同时 ,任何 程序 输入 都 
可 以 作为 测试 对 象 , 币 见 的 输入 有 环境 变量 .鼠标 和 键盘 事件 以 及 API 调用 序列 。 其 至 
一 些 通 弟 不 被 考虑 成 输入 的 对 象 也 可 以 用 于 测试 ,例如 数据 库 中 的 数据 或 共 蛙 内 和 存 。 模 
糊 测 试 数 据 更 多 是 无 效 或 者 半 有 将 的 。 所 谓 半 有 歼 的 数据 是 指 : 对 于 应 用 程序 来 说 , 测 
试用 例 的 必要 标识 部 分 和 大 部 分 数据 是 有 效 的 ,这 样 竺 测 程序 融会 认为 这 是 一 个 有 效 的 
数据 ;但 同时 该 数据 的 其 他 部 分 是 无 效 的 ,这 梓 , 应 用 程序 就 有 可 能 发 生 错误 ,出 现 冲突 、 
锁 住 消耗 大 量 内 存 或 者 产生 不 可 控制 的 程序 错误 ,通过 分 析 即 能 发 现 程序 中 存在 的 安全 
汤 洞 ,从 而 在 应 用 程序 发 布 或 者 配置 前 也 以 壬 正 。 

借 糊 测试 可 以 有 效 地 找 出 安全 源 洞 ,是 由 于 输入 数据 的 随机 性 ,因此 不 会 锌 任何 关于 
软件 应 该 如 何 运作 的 偏见 所 束缚 。 但 值得 注意 的 是 : 模拟 测试 相当 于 对 系统 的 行为 进行 
一 个 随机 采 梓 分 析 , 通 过 模糊 测试 说 明 软 件 可 以 处 理 示 些 开 向 情 况 ,不 会 朋 温 ,但 并 不 能 
说 明 该 软件 完全 没有 安全 漏洞 。 模 糊 测试 主要 是 对 整体 质量 的 一 种 保证 ,并 不 能 替代 全 
面 的 测试 或 者 形式 化 方法 。 模 糊 测 试 可 以 提示 程序 的 哪些 部 件 需要 特别 注意 ,对 于 这 些 
部 件 可 以 进一步 使 用 静态 代码 分 析 等 其 他 软件 安全 测试 方法 。 

己 传统 源 洞 挖掘 方法 相 比 ,模糊 测试 技术 有 其 独 有 的 特点 : 

(1) 模糊 测试 是 一 种 发 气 汤 洞 的 强制 性 方法 。 它 不 像 日 盒 测 试 那 样 需 要 依 徘 软件 开 
发 文档 ,执行 源 代码 分 析 ; 也 不 像 澡 盒 测试 那样 关注 测试 目标 对 给 定 输 入 的 输出 是 否 符合 
预期 。 模 糊 测 试 只 关注 测试 目标 对 测试 用 例 是 否 作 出 了 不 当 的 反应 ,因此 使 用 沁 围 更 加 
| 

(2) 模糊 测试 是 动态 实际 执行 的 ,不 存在 静态 代码 分 析 技 术 中 存在 的 大 量 误 报 问 
题 。 同 时 ,模糊 测试 的 原理 较为 简单 ,没有 大 量 的 理论 推导 和 公式 计算 ,不 存在 符号 执 
行 撤 术 中 的 路 径 状 态 娄 炸 问 题 。 但 需要 注意 的 是 : 模糊 测试 用 例 多 数 是 无 效 或 者 半 有 
效 的 ,在 实际 测试 过 程 中 ,即使 待 测 目标 在 处 理 这 些 测试 用 例 ( 特 别 是 半 有 效 的 用 例 ) 
时 产生 了 和 正 第 数据 一 样 的 反应 ,对 行 测 目标 来 说 ,这 也 是 一 种 不 正确 的 反应 ,是 一 种 
错误 。 

(3) 模糊 测试 中 随机 生成 的 测试 用 例 只 占 很 小 的 一 部 分 ,大 部 分 测试 用 例 需 要 菲 人 
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的 分 析 与 经 验 进行 有 导向 的 生成 ,但 这 种 导向 是 宏观 的 ,具体 的 测试 用 例 仍然 由 模糊 融 生 
成 。 因 此 ,模糊 测试 技术 目 动 化 程度 较 高 ,不 需要 逆向 工程 中 大 量 的 人 工 参 与 。 


2 模糊 测试 的 6 个 基本 阶段 

由 于 不 同类 型 的 待 测 目 标 差 别 很 大 ,模糊 测试 针对 不 同 的 待 测 目标 ,在 方法 的 选择 
上 ,根据 不 同 的 因素 ,会 有 很 大 的 变化 。 选 择 模 糊 测 试 的 方法 取决 于 待 测 目 标 、 测 试 者 的 
经 验 以 及 待 测 数据 的 格式 。 但是, 无论 对 何 种 目标 进行 模糊 测 
试 ,也 无 论 采 用 何 种 模糊 测试 方法 ,在 模糊 测试 过 程 中 都 有 6 个 
基本 阶段 ,分 别 是 识别 待 测 目标 .识别 预期 输入 .生成 模糊 测试 用 T 需 期 蛤 人 
例 .执行 模糊 测试 用 例 ,监视 异常 和 故障 以 及 检测 可 被 利用 的 漏 
洞 ,如 图 7-6 所 示 。 生成 模糊 测试 用 例 

1) 识别 待 测 目 标 

模糊 测试 工作 的 第 一 步 是 确定 待 测 目标 ,并 根据 目标 的 类 型 
选取 合适 的 模糊 测试 工具 或 者 技术 。 同 时 ,还 可 以 借鉴 基于 风险 
模型 的 测试 方法 ,根据 风险 分 析 的 结果 ,对 风险 较 高 的 应 用 或 模 
块 进行 有 针对 性 的 模糊 测试 。 当 待 测 目标 选 定 后 ,如 果 需 要 详细 
地 确定 某 一 个 待 测 输 入 或 待 测 文件 格式 ,那么 应 该 选取 被 较 多 的 
应 用 程序 使 用 的 输入 或 文件 。 因 为 它们 被 较 多 的 程序 访问 和 使 图 7-6 模糊 测试 的 6 个 
用 ,所 以 它们 出 现 漏洞 的 概率 也 相应 较 大 。 基本 阶段 

2) 识别 预期 输入 

确定 待 测 目标 后 ,需要 分 析 预 期 输入 。 模 糊 测试 的 测试 用 例 都 是 基于 对 预期 输入 进 
行 一 定 的 模糊 化 ,所 以 识别 预期 输入 对 模糊 测试 至 关 重 要 。 当 应 用 程序 得 到 了 用 户 的 输 
入 或 其 他 来 源 的 输入 后 ,在 处 理 这 些 输 入 的 过 程 中 没有 预先 分 辨 或 拦截 非法 数据 ,就 很 容 
易 出 现 安全 漏洞 。 而 执行 模糊 测试 的 过 程 就 是 不 断 地 枚 举 输入 向 量 的 过 程 ,针对 不 同 的 
输入 类 型 设计 不 同 的 模糊 测试 数据 。 常 见 的 输入 向 量 有 消息 头 、 文 件 名 .环境 变量 、 注 册 
表 键 值 等 。 任 何 从 客户 端 发 往 目 标 应 用 程序 的 输入 都 应 该 作为 输入 向 量 。 例 如 ,对 于 一 
个 UDP 报 文 , 不 仅 数 据 部 分 可 作为 模糊 测试 的 输入 ,首部 ,文件 名 ,模式 ,操作 码 、 块 纺 
号 .差错 码 .差错 信息 等 也 都 是 输入 向 量 。 

3) 生成 模糊 测试 用 例 

确定 了 输入 向 量 后 ,就 可 以 生成 模糊 测试 用 例 。 在 实际 测试 中 ,需要 根据 待 测 目标 及 
其 数据 格式 选择 合适 的 策略 ,使 用 不 同 的 模糊 器 来 生成 模糊 测试 用 例 。 由 于 数据 量 较 大 ， 
这 个 阶段 通常 会 采用 自动 化 的 方式 完成 。 常 用 的 模糊 测试 用 例 生 成 方法 有 预 生成 测试 用 
例 、 随 机 生成 输入 .手工 协议 变异 测试 .变异 或 强制 性 测试 以 及 自动 协议 生成 测试 。 

(1) 预 生 成 测试 用 例 的 开发 始 于 对 一 个 专门 规约 的 研究 ,其 目的 是 理解 所 有 被 支持 
的 数据 结构 和 每 种 数据 结构 可 接受 的 值 范 围 。 硬 编码 的 数据 包 或 数据 文件 随后 被 生成 ， 
以 测试 边界 条 件 或 迫使 规约 发 生 违 例 。 预 生成 测试 用 例 可 用 于 检验 目标 系统 实现 规约 的 
精确 程度 ,并 且 在 测试 相同 的 协议 的 多 个 实现 或 文件 格式 时 ,用 例 能 够 被 一 致 地 重用 。 但 
是 ,创建 这 些 测试 用 例 需 要 事先 完成 大 量 的 工作 ,同时 ,由 于 没有 引入 随机 机 制 , 一 旦 测试 
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用 例 表 中 的 用 例 被 用 完 ,模糊 测试 只 能 结束 。 

(2) 随机 生成 输入 只 是 简单 地 产生 大 量 伪 随 机 数据 给 待 测 目标 ,观察 竺 测 目标 对 这 
些 数 据 的 反应 。 该 方法 虽然 效率 较 低 ,但 适用 于 迅速 地 对 待 测 目 标 进 行 宏 观 的 安全 性 
评 佑 。 

(3) 手工 协议 变异 测试 不 需要 目 动 化 的 模糊 带 , 因 为 研究 者 本 人 就 是 模糊 磊 。 在 加 
载 了 目标 应 用 程序 后 ,研究 者 仅仅 通过 输入 不 恰当 的 数据 来 试图 让 服务 需 表 溃 或 使 其 产 
生 非 预期 的 行为 。 该 方法 有 利于 测试 人 员 在 审核 过 程 中 发 挥 日 身 的 历史 经 验 和 专业 
技术 。 

(4) 变异 或 强制 性 测试 指 模 糊 硕 从 一 个 有 歼 的 协议 或 数据 格式 样本 开始 ,持续 不 断 
地 打 乱 数据 包 或 文件 中 的 每 一 个 字 节 、 字 、 双 字 或 字符 串 。 采 用 此 方法 ,无 须 事先 对 被 测 
件 进 行 任何 研究 。 但 是 ,这 种 方法 较为 低 效 , 许 多 CPU 周期 被 用 于 数据 生成 ,并 且 这 些 
数据 并 不 能 立刻 得 到 解释 。 然 而 ,通过 测试 数据 生成 和 发 送 过 程 的 目 动 化 ,可 以 有 效 地 提 
高 测试 效率 。 该 测试 方法 的 用 例 履 盖 依 赖 于 已 知 的 .经 过 测试 的 . 恨 好 的 数据 包 或 文件 ， 
大 部 分 协议 规约 或 文件 定义 都 比较 复杂 ,即使 对 其 进行 表面 的 测试 覆盖 也 需要 相当 数量 
的 样本 。 强 制 性 文件 格式 模糊 器 有 FileFuzz 和 notSPIKEfile, 分别 对 应 Windows 和 
Linux 系统 。 

(5) 自动 协议 生成 测试 是 一 种 综合 了 前 4 种 方法 的 、 更 高 级 的 强制 性 测试 方法 。 
在 这 种 测试 中 ,需要 进行 前 期 的 研究 工作 ,首先 要 理解 和 解释 协议 规约 或 文件 定义 ， 
创建 一 个 描述 协议 规约 如 何 工 作 的 文法 ,然后 由 模糊 需 动 态 分 析 这 些 文法 ,生成 模 
糊 测 试 数据 , 回 被 测 目 标 发 送 模糊 测试 后 产生 的 包 或 文件 。 这 种 方法 的 成 功 依 赖 于 
测试 者 的 能 力 ,测试 者 需要 指出 规约 中 最 容易 导致 目标 软件 在 解析 时 发 生 故 障 的 位 
置 。 此 类 模糊 上 有 SPIKE 和 SPIKEfile, 均 以 SPIKE 脚本 来 描述 目标 协议 或 文件 
格式 。 

常用 的 模糊 句 有 本 地 模糊 需 、 远 程 模 糊 需 .内存 模糊 需 和 模糊 测试 框架 。 本 地 模糊 需 
主要 用 来 生成 本 地 测试 目标 的 测试 用 例 ,通常 会 关注 3 类 输入 : 命令 行 参 数 .环境 变量 参 
数 和 文件 格式 。 远 程 模糊 硕 是 以 监听 一 个 网 络 接口 的 远程 软件 为 测试 目标 。 随 春 
Internet 的 发 展 ,几乎 所 有 的 公司 都 会 公开 一 些 可 被 访问 的 服务 帮 , 以 提供 Web 页 、 
E-mail ,域名 系统 CDNS) 解 析 服 务 需 等 ,这 类 软件 中 的 漏洞 为 攻击 者 提供 了 访问 敏感 数据 
或 对 更 可 信 的 服务 硕 发 起 攻击 的 机 会 。 远 程 模 糊 需 包括 网 络 协议 模糊 大 、Web 应 用 模糊 
名 和 Web 训 览 堪 模 糊 需 。 内 存 模糊 需 的 实现 方法 是 冻结 进程 并 存储 其 快照 ,然后 快速 将 
可 能 造成 故障 的 数据 注入 进程 解析 例 程 。 模 糊 测 试 框架 是 一 个 通用 的 模糊 各 或 模糊 帮 
库 , 它 简化 了 许多 不 同类 型 的 测试 目标 的 数据 表示 ,例如 SPIKE 和 Peach。 圣 型 的 模糊 
测试 框架 包括 3 个 部 分 : 一 个 源 洞 触发 方法 库 , 用 来 产生 模糊 测试 字符 串 或 者 通常 能 够 
导致 解析 例 程 出 现 问 题 的 数据 值 ;一 个 例 程 ,以 简化 网 络 和 磁盘 输入 输出 ; 某 种 脚本 类 语 
言 ( 如 Python) ,在 创建 具体 的 模糊 絮 时 使 用 。 模 糊 测 试 框架 具有 可 重用 性 ,需要 根据 测 
试 目标 的 特点 选择 使 用 。 

4) 执行 模糊 测试 用 例 

执行 模糊 测试 就 是 将 上 一 阶段 生成 的 大 量 模糊 测试 数据 不 断 发 送 给 待 测 目标 程序 。 
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面 对 大 量 的 模糊 测试 数据 ,同样 需要 使 用 目 动 化 工 
具 来 完成 执行 。 因 此 , 目 动 化 对 于 模糊 测试 非常 重 
要 ,没有 自动 化 就 无 法 真正 地 执行 模糊 测试 。 自 动 
化 模糊 测试 流程 如 图 7-7 所 示 。 

5) 监视 异常 和 故障 

监视 异常 和 故障 是 模糊 测试 中 至 关 重 要 的 一 销 和 人 到 目标 系统 进行 测试 
步 ,必须 记录 是 哪个 用 例 引 起 了 每 测 目 标的 异 第 和 
故障 ,这 样 才能 通过 重 放 该 用 例 或 之 前 的 一 组 用 例 
对 异常 和 故障 进行 分 析 。 如 果 某 个 用 例 引 起 了 待 测 
目标 的 朋 泪 ,监视 占有 时 还 需要 有 恢复 待 测 目 标 状 
人 态 的 功能 。 

6) 检测 可 被 利用 的 漏洞 

在 发 现 软件 故障 后 ,由 于 测试 目标 的 不 同 ,需要 
判断 发 现 的 故障 是 否 是 一 个 可 被 利用 的 安全 漏洞 。 图 7-7 模糊 测试 工作 流程 
这 种 判定 过 程 是 典型 的 手工 过 程 ,需要 执行 人 员 具 
有 安全 领域 的 专业 知识 。 


734 渗透 测试 


渗透 测试 通过 模拟 恶意 黑客 的 攻击 方法 来 评估 系统 的 安全 状况 ,该 过 程 包括 对 系统 
弱点 ,技术 缺陷 或 漏洞 的 分 析 。 渗 透 测试 具有 两 个 显著 的 特点 : 渗透 测试 是 一 个 逐步 深 
入 的 过 程 ; 测 试 中 一 般 不 会 对 业务 系统 的 正常 运行 造成 影响 。 渗 透 测试 发 现 的 问题 都 是 
客观 存在 的 ,也 较为 严重 ,但 是 它 只 能 覆盖 有 限 的 测试 点 。 渗 透 测试 可 以 使 用 自动 化 测试 
工具 ,同时 为 提升 测试 效果 ,测试 人 员 需 要 有 专业 技能 和 丰富 的 经 验 ,了 解 是 什么 导致 软 
件 安全 和 不 安全 ,如 何 像 攻击 者 一 样 思考 ,如 何 使 用 不 同 测试 工具 和 技术 模仿 攻击 者 行 
为 。 值 得 注意 的 是 : 渗透 测试 主要 模拟 真实 场景 ,分 析 入 侵 者 可 能 的 攻击 路 径 ,因此 , 需 
要 系统 部 署 完成 后 才能 进行 测试 。 渗 透 测试 对 象 包括 操作 系统 ,数据库 ,应 用 系统 和 网 络 
设备 4 种 类 型 ,如 表 7-3 所 示 ， 


表 7-3 ”渗透 测试 对 象 及 主要 目标 






是 否 出 


现 异常 ? 


记录 并 反馈 结果 





测试 对 象 主要 目标 

操作 系统 Windows,Solaris、AIX、Linux、SCO.,、SGI 等 

数据 库 MS-SQL Oracle.MySQL Informix、 Sybase DB2、Access 等 

应 用 系统 各 种 应 用 软件 或 程序 ,如 ASP、CGI、JSP、PHP 等 组 成 的 Web 应 用 程序 
网 络 设备 防火 墙 \ 入 侵 检测 系统 等 


随 看 安全 业 异 看 待 和 定义 渗透 测试 过 程 的 方式 的 转变 ,安全 业界 中 多 个 领 车 企业 所 

来 纳 的 渗透 测试 执行 标准 (Penetration Testing Execution Standard,PTES) 对 渗透 测试 

进行 了 重新 定义 。 新 标准 的 核心 理念 是 通过 建立 进行 渗透 测试 所 要 求 的 基本 准则 基线 来 
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定义 一 次 趴 正 的 渗透 测试 过 程 。 这 一 理念 得 到 安全 业界 三 沁 认 
本 


同 。PTES 标准 将 渗透 测试 过 程 划分 为 如 图 7-8 所 示 的 7 个 阶 1 

段 : 前 期 交互 .情报 收集 ,威胁 建 模 ,漏洞 分 析 、 渗 透 攻 击 、 后 渗透 

攻击 和 报告 。 每 个 阶段 中 定义 了 不 同 的 扩展 级 别 ,而 选择 何 种 级 [ 

别 则 由 被 攻击 测试 的 客户 组 织 决定 。 与 此 同时 ,为 使 渗透 测试 更 

加 有 效 ,最 优 方法 是 将 滥用 用 例 、 威 胁 建 模 等 作为 渗透 测试 活动 J, 

的 基础 ,用 风险 管理 的 思想 来 指导 测试 ， 
1 二 期 交互 阶段 渗透 攻击 





前 期 交互 阶段 通常 是 与 客户 组 织 进 行 讨论 ,以 确定 渗透 测试 I 
的 范围 和 目标 。 这 个 阶段 最 为 关键 ,需要 让 客户 组 织 清晰 地 了 解 
渗透 测试 将 涉及 哪些 目标 ,从 而 选择 更 加 现实 可 行 的 渗透 测试 J 


日 标 。 报告 
2 情报 收集 阶段 7-8 ”PTES 标准 渗透 
在 情报 收集 阶段 ,需要 使 用 各 种 方法 来 收集 目标 的 信息 , 包 A 


括 使 用 社交 媒体 等 网 络 信 息 范 围 内 的 已 知事 物 .Google Hacking 
技术 ,目标 系统 躁 点 等 。 作 为 渗透 测试 人 员 ,最 重要 的 一 项 技术 就 是 对 目标 系统 的 拧 查 能 
力 , 包 括 获知 它 的 行为 模式 .运行 机 理 以 及 最 终 可 以 如 何 对 它 进 行 攻 击 。 

情报 收集 的 主要 内 容 是 系统 .网 络 和 应 用 相关 信息 。 系 统 信息 包括 系统 的 “ 旗 标 ”\ 存 
在 的 漏洞 等 ,可 使 用 端口 扫描 和 服务 扫描 获得 。 网 络 信息 包括 域名 、 网 络 结构 等 。 应 用 信 
县 主要 是 应 用 服务 硕 的 版 本 ,平台 信息 和 已 发 布 的 狂 洞 等 。 

在 情报 收集 阶段 ,可 通过 逐步 深入 的 探测 来 确定 目标 系统 中 实施 的 安全 防御 措施 。 
例如 ,一 个 组 织 在 对 外 开放 的 网 络 设 备 上 经 常设 置 端 口 过 滤 , 只 允许 接收 发 往 特 定 并 口 的 
网 络 流 量 ,而 一 旦 在 日 名 单 之 外 的 器 口 访问 这 些 设备 ,就 会 被 加 入 墨 名 单 以 进行 阻 断 。 实 
现 这 种 阻 断 行 为 的 一 个 方法 是 从 测试 者 所 控制 的 其 他 IP 地 址 开始 进行 初始 探测 ,而 这 个 
IP 地 址 是 预期 束 会 被 阻 断 或 者 被 检测 到 的 。 

在 收集 到 信息 之 后 ,还 需要 对 信息 进行 整理 和 分 类 ,从 而 提取 出 对 渗透 测试 有 用 的 
信息 。 

3 威胁 建 模 阶段 

威胁 建 模 主要 使 用 在 情报 收集 阶段 所 获取 的 信息 标识 出 目标 系统 上 可 能 存在 的 安全 
洞 润 与 弱点 。 在 进行 威胁 建 模 时 ,要 确定 最 高 效 的 攻击 方法 .需要 进一步 获取 的 信息 以 及 


从 哪里 攻破 目标 系统 。 在 威胁 建 模 阶段 ,需要 测试 人 员 以 攻击 者 的 视角 和 思维 来 尝试 利 
用 目标 系统 的 弱点 。 
4 漏洞 分 析 阶 段 


在 漏洞 分 析 阶 段 , 需 红 合 前 3 个 阶段 中 获取 的 信息 ,并 从 中 分 析 和 确定 可 行 \ 有 效 的 
攻击 路 径 和 方法 。 特 别 是 需要 重点 分 析 问 口 和 漏洞 扫描 结 采 、 获 取 的 服务 “ 族 帜 ?信息 以 
及 在 情报 收集 阶段 中 得 到 的 其 他 关键 信息 。 同 时 ,在 确定 攻击 路 径 后 ,还 要 分 析 如 何 获 取 
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目标 系统 的 访问 控制 权 。 

5 渗透 攻击 阶段 

渗透 攻击 阶段 是 真正 人 侵 到 目标 系统 中 ,获得 访问 控制 权 。 在 实际 情况 下 ,渗透 攻击 
往往 没有 所 预想 的 那么 一帆风顺”, 而 是 “ 曲 径 通 幽 ”。 最 好 是 在 基本 确信 特定 的 渗透 攻 
击 会 成 功 的 时 候 , 才 真正 对 目标 系统 实施 渗透 攻击 。 当 然 ,在 目标 系统 中 很 可 能 存在 着 一 
些 没 有 预料 到 的 安全 防护 措施 ,使 得 这 次 渗透 攻击 无 法 成 功 。 但 需要 注意 的 是 ,在 尝试 触 
发 一 个 漏洞 时 ,应 该 充分 了 解 目标 系统 和 利用 漏洞 。 漫 无 目的 的 尝试 只 会 造成 大 量 的 报 
警 信 息 ,并 不 会 为 测试 人 员 和 客户 组 织 提供 任何 帮助 。 需 先 做 好 准备 ,然后 再 针对 目标 系 
统 实施 已 经 深入 人 研究 和 测试 的 滩 表 攻击 ,这 样 才 有 可 能 取得 成 功 。 


6 后 渗透 攻击 阶段 

后 渗透 攻击 阶段 从 和 人 侵 到 目标 系统 中 或 取得 域 管 理 权 限 之 后 开始 。 后 渗透 攻击 阶段 
将 以 特定 的 业务 系统 为 目标 ,识别 出 关键 的 基础 设施 ,并 寻找 客户 组 织 最 具 价 值 和 尝试 进 
行 安全 保护 的 信息 和 资产 , 当 从 一 个 系统 攻 人 另 一 个 系统 时 ,需要 演示 出 能 够 对 客户 组 织 
造成 最 重要 业务 影 啊 的 攻击 途径 。 在 后 渗透 攻击 阶段 对 系统 进行 攻击 时 ,需要 投入 更 多 
的 时 间 来 确定 各 种 不 同系 统 的 用 途 以 及 它们 不 同 的 用 户 角 色 。 

7 报告 阶段 

报告 是 渗透 测试 过 程 中 最 为 重要 的 因素 ,在 报告 文档 中 需要 体现 测试 人 员 在 测试 过 
程 中 的 测试 内 容 ,测试 过 程 ,最 为 重要 的 是 ,还 要 就 客户 组 织 应 该 如 何 修 复 测 试 所 发 现 的 
安全 漏洞 和 弱点 提出 建议 。 在 此 阶段 ,测试 人 员 需 要 从 客户 组 织 的 角度 来 分 析 如 何 利 用 
发 现 的 问题 提升 安全 意识 ,修补 发 现 的 问题 ,以 及 提升 系统 整体 的 安全 水 平 , 而 不 仅仅 是 
给 发 现 的 安全 漏洞 打上 补丁 。 

报告 至 少 分 为 摘要 .过 程 展示 和 技术 发 现 3 个 部 分 。 技 术 发 现 部 分 将 会 被 客户 组 织 
用 来 修补 安全 漏洞 ,这 也 是 渗透 测试 过 程 真 正 价 值 的 体现 。 例 如 ,在 客户 组 织 的 系统 中 发 
现 了 一 个 SQL 注入 漏洞 ,渗透 测试 人 员 将 会 在 报告 的 技术 发 现 部 分 建议 客户 组 织 对 所 有 
的 用 户 输 入 进行 检查 过 滤 ,使 用 参数 化 的 SQL 查询 语句 ,在 一 个 受 限 的 用 户 账户 上 运行 
SQL 语句 ,以 及 使 用 定制 的 出 错 信 息 。 需 要 注意 ,最 可 能 导致 SQL 注入 漏洞 的 原因 是 使 
用 了 未 能 确保 安全 性 的 第 三 方 应 用 ,在 报告 中 也 要 充分 考虑 这 些 因素 ,并 建议 客户 组 织 进 
行 细致 的 检查 ,进而 消除 这 些 漏洞 。 
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互联 网 技术 的 发 展 使 软件 成 为 人 们 现实 生活 中 做 很 多 事 悄 的 关键 ,同时 ,软件 也 分 布 在 
各 个 关键 系统 之 中 。 因 此 ,软件 安全 已 经 成 为 人 们 关注 的 重点 。 软 件 安 全 指 在 软件 开发 过 
程 中 应 用 安全 开发 周期 管理 模式 构建 安全 的 软件 。 虽 然 在 软件 开发 过 程 中 较 早 修复 安全 缺 
陷 将 比 发 布 后 再 修复 安全 独 洞 大 大 节约 成 本 ,但 是 我 们 仍 需 关 注 软件 开发 生命 周期 各 阶段 
的 安全 审查 。 目 前 ,大 多 数 信 息 技术 相关 的 安全 措施 已 经 能 够 有 效 提 高 软件 安全 性 ,降低 软 
件 安全 风险 。 本 和 草 主要 介绍 软件 发 布 以 及 部 晋 阶段 相关 的 安全 概念 以 及 安全 措施 。 


81 ”软件 安全 发 布 


软件 发 布 指 交付 软件 产品 ,在 该 阶段 仍 需 对 软件 进行 安全 性 检查 ,以 确保 软件 是 安全 
的 , 即 安全 问题 已 经 被 解决 到 软件 发 布 时 可 以 接受 的 程度 。 下 面 对 最 终 安全 性 检查 以 及 
安全 事故 响应 计划 进行 详细 阐述 。 


811 最 终 安 全 审查 


安全 审查 在 软件 安全 开发 生命 周期 各 阶段 名 不 容 忽 视 ,因此 ,在 软件 开发 的 发 布 阶 
段 , 需 对 软件 进行 最 终 的 安全 审查 ,以 确 你 软件 产品 已 经 为 发 布 做 好 所 有 准备 。 在 最 终 的 
软件 开发 安全 审 碍 过 程 中 ,所 有 的 安全 活动 ,例如 威胁 模型 .测试 稍 出 ` 性 能 需求 等 均 珊 要 
进行 确认 ,并 对 其 进行 重新 评 佑 。 通 过 最 终 安 全 审 碍 ,可 能 出 现 的 结 有 末 有 3 种 ,分 别 为 : 
最 终 安 全 审 碍 通过 ;最 终 安全 审查 通过 ,但 是 有 开 议 ;最 终 安 全 审查 没有 通过 ,需要 进行 扩 
展 。 接 下 来 将 对 这 3 种 情况 进行 详细 描述 。 

(1) 最 终 安 全 评审 通过 。 

该 结果 表明 所 有 已 经 确认 的 最 终 安全 问题 部 已 经 得 到 修正 ,并 且 已 确认 软件 满足 所 
有 SDL 需求 。 因 此 ,从 软件 安全 性 角度 来 说 已 经 达到 软件 发 布 要 求 。 

(2) 最 终 安全 审查 通过 ,但 是 有 异议 。 

该 纺 未 表明 所 有 已 经 确认 的 安全 问题 并 未 得 到 全 部 修正 ,但 对 于 开发 团队 无 法 处 理 
的 一 个 或 多 个 异 第 给 予 接收 处 理 。 与 此 同时 ,此 异 帝 虽然 不 会 在 当前 版 本 解决 ,但 是 会 被 
定位 在 接 下 来 的 补丁 或 版 本 中 进行 修正 。 

(3) 最 终 安 全 审 碍 没有 通过 ,需要 进行 扩展 。 

此 结 采 表明 所 有 已 经 确认 的 安全 问题 并 未 得 到 全 部 修正 ,并 且 SDL 和 开发 团队 无 法 
接受 存在 的 安全 源 洞 和 修补 情况 ,因此 ,软件 产品 不 能 发 布 。 守 致 软件 无 法 发 布 的 SDL 
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需求 必须 扩展 至 更 高 的 管理 层面 进行 决策 ,从 而 评估 在 不 满足 需求 的 情况 下 进行 软件 发 
布 审 来 的 风险 与 后 有 果 。 在 决 宁 过 程 中 ,应 该 依据 SDL 和 开发 团队 提交 的 报告 ,报告 中 包 
含 安全 风险 描述 及 其 理由 。 

从 上 述 3 个 结果 中 可 以 看 出 ,存在 安全 审查 不 通过 的 情况 ,此 时 ,需要 对 已 知 问题 进 
行 修复 。 因 此 ,最 终 安全 审查 必须 制订 时 间 表 并 严格 执行 ,从 而 达到 完全 分 析 时 间 ,修复 
已 知 问题 时 间 ,修复 最 终 安全 审查 发 现 的 安全 问题 时 间 最 大 化 的 目标 ,进而 使 得 软件 产品 
发 布 的 时 间 更 加 充裕 。 

品 发 布 阶段 的 安全 审查 作为 产品 的 最 终 安 全 审查 ,决定 了 软件 产品 能 否 发 布 。 主 

要 可 分 为 4 个 步骤 ,如 图 8-1 所 示 , 分 别 为 评估 资源 可 用 性 确定 合 术 
的 特征 .评估 和 制订 修复 计划 以 及 版 本 发 布 。 接 下 来 将 对 这 4 个 步 
又 的 具体 内 容 进 行 详细 阐述 。 

(1) 评 佑 资源 可 用 性 。 

评估 资源 可 用 性 作为 最 终 安全 审查 的 第 一 步 ,主要 确定 执行 最 
终 安全 审查 的 资源 。 与 此 同时 ,在 软件 发 布 前 评估 增强 质量 的 能 力 
标准 ,通过 质量 标准 建立 可 接受 的 最 低 安全 水 平 。 其 中 ,质量 标准 应 
该 在 软件 安全 开发 生命 周期 的 早期 建立 ,从 而 使 得 安全 风险 能 够 较 
早 被 发现 ,进而 保证 安全 源 洞 能 够 在 早期 被 确认 和 修复 ,避免 不 需要 
的 工作 对 致 软件 发 布 延期 。 值 得 重视 的 是 ,在 最 终 安全 审查 过 程 中 ， 
SDL 和 开发 团队 必须 避 守 质量 标准 ,如 有 果 安 全 已 经 确认 作为 SDL 的 版 本 发 布 
结果 在 软件 安全 开发 生命 周期 中 得 到 建立 ,那么 将 最 终 安全 审查 时 
间 最 小 化 ;反之 , 则 需要 投入 过 多 的 时 间 资 源 , 甚 至 可 能 导致 软件 发 图 8-1 最 终 安全 
布 的 延期 。 审查 流程 

(2) 确认 合格 的 特征 。 

确认 合格 的 特征 作为 最 终 安全 审查 的 第 二 步 , 需 要 确认 最 终 安全 审查 的 安全 任务 的 
合格 标准 。 在 软件 开发 过 程 早期 建立 合格 特征 ,从 而 避免 安全 审查 中 包含 未 完成 的 安全 
任务 。 在 软件 开发 过 程 中 ,可 能 存在 设 有 报告 的 安全 漏洞 ,而 在 最 终 安 全 审查 过 程 中 发 现 

(3) 评估 和 制订 修复 计划 。 

评 佑 和 制订 修复 计划 作为 最 终 安 全 审查 的 第 三 步 , 需 要 通知 任务 的 相关 负责 人 ,并且 
对 最 终 安全 审查 的 日 程 安排 进行 确认 。 在 该 步 中 , 需 评 佑 所 有 安全 活动 ,在 必要 时 制订 修 
复 计划 。 

(4) 版 本 发 布 。 

产品 安全 审查 需 对 模糊 测试 .安全 漏洞 扫 摘 、 安 全 编码 原则 检查 等 进行 审查 ,以 确保 
软件 产品 满足 所 有 SDL 需求 ,并 且 满 足 发 布 要 求 。 其 中 ,功能 回归 测试 会 占用 安全 审查 
的 资源 。 回 归 测 试用 以 发 现 新 软件 安全 漏洞 或 根据 已 经 发 现 的 安全 漏洞 进行 回归 测试 ， 
值得 注意 的 是 ,这 些 回 归 测 试 可 能 导致 软件 已 经 存在 的 功能 性 和 非 功能 性 方面 发 生变 化 。 
因此 ,回归 测试 主要 评估 软件 的 一 部 分 发 生变 化 时 是 否 会 导致 软件 中 与 其 交互 的 部 分 也 
发 生变 化 。 
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812 ”安全 事故 响应 计划 


无 论 软件 在 安全 方面 和 相关 的 SDL 方面 做 得 多 么 好 , 虱 会 忽略 一 些 问题 ,为 此 需要 
制订 安全 事故 啊 应 计划 。 因 此 ,产品 发 布 后 的 管理 关键 天 是 要 建立 产品 安全 事故 啊 应 小 
组 (Product Security Incident Response Team,PSIRT)。 产 品 安全 事故 啊 应 小 组 负责 应 
对 软件 产品 安全 事件 ,涉及 发 布 后 软件 产品 安全 狂 洞 的 外 部 有 发现。 安全 泪 洞 的 外 部 发 现 
者 可 能 是 独立 的 安全 研究 人 员 ,顾问 .行业 组 织 .其 他 三 商 以 及 善意 或 者 恶意 的 黑客 ,他们 
能 够 找 出 PSIRT 负责 的 软件 产品 中 可 能 存在 的 安全 潮 润 。 


8.2 ”软件 安全 部 则 


软件 部 署 指 与 软件 配置 .维护 相关 的 过 程 、 活 动 和 措施 。 与 此 同时 ,软件 部 署 也 关注 其 
他 对 软件 的 安全 性 有 和 耳 接 影响 的 环境 问题 。 本 市 以 软件 保证 成 熟 度 模型 的 部 署 功能 为 例 ， 
详细 介绍 软件 的 安全 部 署 。SAMM 设置 了 4 种 关键 业务 ;对 于 每 一 个 业务 功能 ,SAMM 设 
置 了 3 个 安全 措施 ;对 于 每 一 个 安全 措施 ,SAMM 设置 了 3 个 成 熟 度 等 级 。 其 中 ,部署 功 能 
的 3 个 安全 措施 分 别 为 漏洞 管理 ,环境 强化 和 操作 激活 。 接 下 来 将 分 别 对 其 进行 详细 介绍 ，。 

821 漏洞 管理 

涧 洞 管理 (vulnerability management) 功 能 注重 关于 处 理 泌 洞 报告 和 操作 时 间 的 组 
织 内 部 流程 。 从 发 生 事件 时 简单 地 分 配角 色 人 和 人手, 组 织 会 逐步 形成 正式 的 事件 啊 应 流程 ， 
以 确保 能 够 对 发 生 的 问题 进行 跟踪 。 漏 洞 管理 涉及 对 事件 和 报告 的 分 析 , 并 收集 详细 的 
衡量 指标 。 漏 洞 管理 的 3 个 成 熟 度 等 级 分 别 为 VM1、VM2、VM3 ,其 具体 内 容 可 参阅 
OWASP 的 相关 文档 。 


822 环境 强化 


环境 强化 (environment hardening) 功 能 注重 软件 的 运行 环境 ,强化 操作 环境 能 够 有 

效 改进 软件 的 整体 安全 状态 。 组 织 可 以 从 简单 跟踪 和 回 开 发 团队 分 发 有 关 操 作 环 境 的 信 
县 人 手 ,逐步 及 纳 可 扩展 的 方法 ,管理 安全 补丁 部 署 和 使 用 早期 警告 检测 符 , 以 尽早 发 现 
漆 在 安全 风险 。 随 春 组 织 的 发 展 , 还 可 以 部 署 保护 工具 ,添加 防护 层 和 安全 网 ,从 而 限制 
漏洞 被 利用 时 造成 的 损失 。 环 境 强化 分 为 3 个 成 熟 度 等 级 ,分 别 为 EHl1、EH2、EH3, 具 
体内 容 可 参阅 OWASP 的 相关 文档 。 

823 操作 激活 

操作 激活 (operational enablement) 功 能 注重 从 开发 软件 的 项 目 团队 收集 重要 的 安全 
县 ,并 将 其 传达 给 软件 的 用 户 和 操作 人 员 。 组 织 应 从 为 用 户 和 操作 人 员 提 供 附 有 话 细 
信息 的 简 多 文 要 人 手 ,逐渐 制定 随 每 个 软件 版 本 提供 的 完整 的 操作 安全 指南。 操作 激活 
分 为 3 个 成 熟 度 等 级 ,分 别 为 OE1.OE2 .OE3 ,具体 内 容 可 参阅 OWASP 的 相关 文档 。 


了 


此 


了 | 
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曹 介绍 代 码 审计 系统 的 应 用 实例 ,根据 相应 的 应 用 背景 和 安全 需求 ,分 析 其 存在 的 
安全 问题 ,提出 具有 针对 性 的 解决 方案 ,并 以 奇 安信 网 神代 码 卫士 为 例 , 展 示 其 部 署 方式 
和 方案 效益 。 


9 1 应 用 背 及 


随 者 网 络 技术 和 应 用 的 飞速 发 展 , 信 息 系统 安全 正面 临 者 前 所 未 有 的 挑战 。 近 几 年 
重大 安全 事件 的 频频 发 生 表明 了 当前 信息 系统 安全 形 努 的 产 上 峻 性 ,仅仅 依 徘 传统 的 安全 
防护 机 制 来 保障 信息 安全 的 做 法 已 经 逐渐 力不从心 。 软 件 代码 是 构建 系统 信息 的 基础 ， 
软件 代码 中 安全 尘 洞 和 未 声明 功能 (后 门 ) 的 和 存在 是 安全 事件 频 么 发 生 的 根源 。 忽 视 软件 
代码 目 身 的 安全 性 ,仅仅 依 徘 外 围 的 防护 .事后 的 修补 等 方法 ,人 镶 本 逐 末 ,必然 事倍功半 。 
只 有 通过 管理 和 技术 手段 保障 软件 代码 自 号 的 安全 性 ,再 辅 以 各 种 安全 防护 手段 , 才 是 解 
决 当前 安全 问题 的 根本 解决 之 姐 。 


9 29 企业 需求 


美国 等 西方 发 达 国 家 非常 重视 软件 代码 安全 保障 ,从 政府 部 门 到 企业 界 都 在 积极 推 
进 这 一 工作 。 美 国 国土 安全 部 提出 软件 “内 建安 全 ”的 概念 ,将 安全 作为 软件 的 基础 属性 ， 
并 资助 了 一 系列 软件 代码 安全 保障 的 研究 项 目 , 如 SAMATE, 开 源 代码 安全 测试 计划 
等 ;企业 界 则 以 微软 公司 为 代表 ,提出 了 软件 安全 开发 生命 周期 的 理念 ,强调 软件 整个 生 
命 周期 各 个 环节 的 安全 保障 ,这 一 理念 也 已 被 众多 大 型 企业 所 采纳 。 

某 企 业 十 分 重视 软件 代码 的 安全 ,和 硕 望 通过 部 亚 源 代码 安全 检测 产品 来 解决 软件 开 
发 和 测试 过 程 中 遇 到 的 安全 问题 。 但 该 企业 在 源 代 码 安 全 检测 技术 应 用 中 遇 到 了 以 下 几 
个 问题 : 

(1) 国外 源 代 人 码 检 测 产 品 占据 市 场 主流 。 

软件 源 代码 是 企业 的 核心 资产 和 重要 知识 产权 。 源 代码 安全 检测 产品 的 应 用 是 
人 耕 会 引入 其 他 的 安全 风险 ,如 何 保障 源 代码 安全 检测 产品 目 身 安全 可 控 , 是 企业 安 
全 主管 领导 关心 的 核心 问题 。 目 前 市 场 上 的 源 代 码 安全 检测 产品 大 都 是 国外 广 商 开 
发 的 ,相关 实现 原理 极 少 对 外 公开 ,因此 ,对 应 用 这 些 产 品 的 企业 来 说 ,其 自主 可 控 
性 大 打折 扣 。 
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(2) 现 有 产品 难以 与 开发 或 测试 流程 融合 。 

企业 已 经 购买 了 一 些 源 代码 安全 检测 产品 (如 Fortify、Checkmarx) ,但 使 用 效果 不 理 
想 ,产品 利用 率 不 高 。 传 统 的 软件 开发 和 测试 流程 并 未 考虑 源 代码 目 身 安全 的 需求 。 测 
评 机 构 曾 经 尝试 在 已 固化 的 流程 中 应 用 源 代码 安全 检测 产品 ,但 遇 到 了 各 种 具体 问题 , 例 
如 , 源 代 码 安全 检测 产品 难以 与 代码 管理 服务 天 进 行 对 接 ,无 法 与 已 有 的 缺陷 管理 系统 目 
动 进 行 结 朱 整合 ,等 等 。 这 些 问 题 如 采 不 能 得 到 有 效 解 决 ,将 会 大 大 地 增加 开发 和 测试 工 
作 量 ,影响 工作 效率 。 

(3) 多 数 产品 对 个 性 化 需求 的 文 持 不 足 。 

当前 企业 希望 建设 一 个 检测 管理 平台 ,以 整合 多 个 源 代码 检测 工具 ,同时 对 多 个 源 代 
码 安全 检测 产品 的 结果 进行 深度 融合 ,提供 统一 的 检测 报告 。 目 前 第 见 的 商业 源 代码 安 
全 检测 产品 大 多 是 根据 通用 需求 开发 的 ,但 不 同 的 企业 由 于 行业 及 业务 的 特殊 性 ,对 源 代 
码 安 全 检测 有 很 多 个 性 化 的 合 规 性 需求 。 目 前 的 商业 检测 工具 对 这 种 个 性 化 需求 的 支持 
不 足 , 导 致 组 织 在 应 用 源 代码 安全 检测 产品 时 无 法 满足 日 映 的 需求 。 

(4) 开发 过 程 中 较 少 评 佑 开源 组 件 的 安全 风险 。 

开源 组 件 存在 的 安全 漏洞 和 授权 协议 问题 会 给 软件 的 使 用 市 来 风险 。 个 别人 研发 人 员 
为 了 方便 , 百 接 引 用 来 目 互 联网 的 开源 组 件 进行 编码 ,这 些 开 源 组 件 往 往 包 含 安 全 漏洞 ， 
由 此 降低 了 软件 的 整体 安全 性 。 另 外 ,开源 组 件 一 般 都 需 获 得 相关 的 使 用 授权 ,直接 引用 
这 些 开 源 模块 可 能 会 给 企业 融 来 法 律 风险 。 目 前 测评 机 构 还 未 实施 能 够 对 开源 代码 进行 
溯源 评估 的 有 效 技术 措施 。 


93 ”解决 万 肥 


为 解决 测评 机 构 在 源 代码 安全 检测 方面 过 到 的 问题 , 奇 安信 和 集团 结合 多 年 源 代码 安 
全 检测 及 审计 经 验 , 为 企业 部 署 代 码 安 全 保障 系统 ,根据 企业 已 经 购买 过 的 安全 产品 进行 
定制 化 开发 融合 ,为 企业 建设 一 体 化 的 源 代码 安全 保障 体系 。 
为 了 建立 实用 、 可 靠 的 源 代码 安全 保障 体系 ,应 首先 建立 明确 的 规则 ,然后 搭建 高 效 
的 检测 平台 ,并 对 全 发 人 员 进行 培 训 , 使 其 具备 扎实 的 安全 技能 ,最 终 辅 以 安全 专家 的 次 
度 安全 分 析 服 务 。 源 代码 安全 保障 体系 建设 思路 如 图 9-1 所 示 。 
/确立 规则 || 措 建 平台 ”| 安全 培训 || 分析 服务 | 
图 9-1 源 代码 安全 保障 体系 建设 思路 


1 确立 规则 
在 确立 规则 阶段 ,资深 代码 安全 专家 将 分 析 测 评 机 构 已 有 的 开发 与 测试 流程 ,确立 代 
码 安全 保障 工作 流程 ,制订 流程 整合 方案 。 分 析 企 业 相 关 业 务 系 统 源 代码 特点 与 历史 安 
全 状 训 ,总结 杭 理 企 业 系 统 狐 代 但 中 经 芝 出 现 的 安全 问题 ,确立 代码 安全 目标 ,并 络 合 
际 主流 标准 ,针对 性 地 制定 符合 企业 特点 的 安全 开发 与 测试 规范 ,进而 开发 自动 化 缺陷 及 
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合 规 检测 规则 集 , 支 撑 源 代码 安全 检测 的 流程 目 动 化 。 


2 搭建 平台 

在 搭建 平台 阶段 ,基于 代码 安全 保障 系统 搭建 自动 化 检测 平台 。 代 码 安全 保障 系统 
是 奇 安信 和 集团 开发 的 基于 软件 安全 开发 生命 周期 管理 的 新 一 代 源 代码 安全 检测 系统 。 它 
面 癌 企业 的 源 代 码 安全 需求 ,能 够 在 不 改变 企业 现 有 开发 流程 的 前 提 下 ,帮助 企业 实现 使 
用 一 个 检测 管理 平台 整合 多 个 源 代 码 检 测 工 具 , 对 多 个 源 代 码 安全 检测 产品 的 结果 进行 
次 度 融 合 的 目标 。 

根据 测评 机 构 现 状 , 奇 安信 集团 建议 采用 一 套 代 码 安全 专用 硬件 进行 部 署 。 该 专用 
人 硬件 包含 了 代码 安全 管理 中 心 .服务 交换 机 及 检测 引擎 等 相关 模块 。 企 业 无 须 进行 额外 
的 软件 安装 部 署 , 仅 需 安装 代码 安全 检测 系统 , 即 可 开始 源 代码 安全 检测 工作 。 

上 传 到 源 代码 安全 检测 平台 的 源 代码 通过 服务 交换 机 后 ,由 任务 调度 子 系统 分 配 代 
码 检 测 方式 和 工具 ;检测 结果 在 返回 服务 交换 机 后 ,又 通过 绪 果 综合 处 理 .结果 对 应 与 转 
换 、 结 果 去 重 等 处 理 ,获得 综合 的 分 析 处 理 结果 ;最 后 将 原始 代码 信息 、 检 测 出 的 缺陷 漏洞 
和 人 处理 后 的 结果 分 别 存 入 用 户 信息 库 、 缺 陷 知 识 库 和 分 析 结 果 库 中 ,以 方便 以 后 的 查询 分 
析 。 代 人 码 安全 检测 系统 结构 如 图 9-2 所 示 。 
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9-2 代码 安全 检测 系统 结构 


3 安全 培训 

在 安全 培训 阶段 ,通过 培训 ,使 软件 设计 、 开 发 .测试 等 相关 人 员 能 够 了 解 软件 安全 开 
发 生命 周期 在 软件 开发 过 程 中 的 重要 作用 ,了 解 Java、C/C++ 、C# 等 语言 的 安全 编码 常 
识 , 了 解 第 见 的 源 代码 安全 缺陷 及 其 产生 机 理 、 严 重 危 害 和 防范 措施 。 

4 深度 安全 分 析 服 务 

在 深度 安全 分 析 服 务 阶段 ,由 资深 代码 安全 专家 提供 深度 安全 分 析 服 务 、 缺 陷 成 因 分 
析 以 及 修复 建议 。 
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94 ”万 到 优势 


奇 安信 集团 的 代码 审计 安全 解决 方案 具有 以 下 5 个 优势 . 

(1) 有 效 降低 软件 安全 修复 成 本 。 

源 代码 安全 检测 是 绥 解 软件 安全 问题 的 有 效 途 征 , 可 从 源头 上 大 量 减 少 代 人 码 注入 里 
站 脚本 等 高 危 安 全 问题 ,进而 提升 信息 系统 的 安全 性 。 根 据 Gartner 公司 的 统计 ,在 软件 
代码 实现 阶段 发 现 并 纠正 安全 问题 所 花费 的 成 本 是 软件 交付 后 通过 “上 线 安全 评估 ”发 现 
问题 再 进行 整改 的 成 本 的 1/1000 一 1/50。 越 早上 发 现 源 代码 安全 问题 ,其 修复 成 本 越 低 。 
代码 安 全 检测 系统 可 帮助 企业 在 软件 开发 过 程 中 尽早 ` 尽快 发 现 软件 源 代 码 安 全 问题 ,有 
效 降低 软件 修复 成 本 。 

(2) 目 主 可 控 的 源 代 码 安 全 检测 。 

软件 源 代码 是 企业 的 核心 信 生 化 资产 。 源 代码 安全 检测 产品 部 署 到 开发 和 测试 网 络 
中 之 后 是 否 会 引入 其 他 的 安全 风险 ,如何 保 障 源 代码 安全 检测 产品 自身 安全 可 控 , 是 企业 
最 关心 的 问题 。 代 码 安 全 检测 系统 是 奇 安信 和 集团 日 主人 研发 的 国产 源 代码 安全 检测 产品 ， 
该 解决 方案 符合 国家 对 信息 安全 产品 日 主 \ 可 控 的 要 求 。 

(3) 上 自主 化 的 安全 开发 生命 周期 管理 。 

代码 安全 检测 系统 在 设计 时 充分 考虑 了 企业 在 应 用 源 代码 安 全 检测 产品 过 程 中 遇 到 
的 各 种 实际 问题 ,其 基本 理念 是 使 企业 用 最 小 的 代价 将 源 代码 安全 检测 操作 融入 已 有 开 
发 和 测试 流程 中 ,实现 安全 开发 生命 周期 管理 。 代 码 安 全 检测 系统 支持 软件 项 目 安 全 日 
标 设 定 ,可 以 从 SVN、GIT 等 代码 库 获 取 源 代码 并 进行 日 动 化 周期 检测 ,支持 检测 结 末 差 
距 分 析 、 趋 势 分 析 , 检 测 结果 可 与 Bugzilla 等 缺陷 管理 系统 进行 整合 ,企业 无 须 改 变 原 有 
流程 , 即 可 至 有 软件 源 代码 质量 大 幅度 提升 市 来 的 好 处 。 

(4) 文 持 多 方面 个 性 化 定制 开发 。 

相对 于 国外 品牌 ,代码 安全 检测 系统 更 贴近 企业 的 需求 。 奇 安信 集团 可 根据 企业 的 
行业 特性 及 业务 特点 ,提供 个 性 化 的 源 代 码 安全 检测 规范 定制 开发 ,满足 信息 安全 等 级 体 
护 三 级 系统 对 于 自主 开发 软件 "应 制定 代码 编写 安全 规范 ,要 求 开 发 人 员 参 照 规 范 编写 代 
码 ” 的 要 求 。 同 时 ,针对 企业 已 经 购买 的 Foritify Checkmarx 等 商业 检测 工具 ,代码 安全 
检测 系统 提供 了 定制 化 接口 ,可 驱动 企业 已 有 工具 对 软件 源 代码 进行 复 检 , 并 统一 反馈 检 
测 绪 采 , 既 利 用 互补 优化 了 源 代 码 检测 绪 采 ,也 你 护 了 企业 原 有 投资 。 

(5) 该 方案 是 国内 唯一 的 开源 代码 风险 评 佑 产品 。 

代码 安全 检测 系统 是 国内 唯一 支持 溯源 检测 的 开源 代码 日 动 化 检测 产品 。 开 源 组 件 
存在 的 安全 源 洞 和 授权 协议 问题 会 给 企业 市 来 风险 ,代码 安全 检测 系统 能 够 检测 软件 中 
使 用 了 哪些 开源 组 件 , 这 些 组 件 存在 哪些 安全 漏洞 和 使 用 授权 的 问题 ,帮助 企业 降低 使 用 
开源 代码 的 风险 。 
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附录 和 
英文 缩 略语 


AOP Aspect-Oriented Programming 面 癌 方 问 的 编程 

AOSD Aspect-Oriented Software Development 面 回 方 回 的 软件 开发 

API Application Programming Interface 应 用 编程 接口 

BSIMM Building Security In Maturity Model BSI 成 束 度 模型 

CC Common Criteria for Information Technology Security Evaluation 信息 技术 
安全 评 佑 通用 标准 

CLASP Comprehensive Lightweight Application Security Process 综合 的 轻 量 级 
应 用 安全 过 程 

DBA Database Administrator 数据库 管理 员 

DSA ”Digital Signature Algorithm 数字 签名 算法 

DSS Digital Signature Standard ”数字 签名 标准 

EH Environment Hardening 环境 强化 

JLS Java Language Specification Java 霹 言 规范 

OE Operational Enablement 操作 激活 

OWASP Open Web Application Security Project 开放 Web 应 用 安全 项 目 

PHP Hypertext Preprocessor 超级 文本 预 处 理 语言 

PSIRT Product Security Incident Response Team 产品 安全 事故 啊 应 小 组 

PTES Penetration Testing Execution Standard 渗透 测试 执行 标准 

RAI Resource Acquisition Initialization ”资源 获取 初始 化 

RUP Rational Unified Process 统一 软件 开发 过 程 

SAMM Software Assurance Maturity Model 软件 保证 成 束 度 模型 

SDL _ Security Development Lifecycle 安全 开发 生命 周期 

SDLC Software Development Lifecycle 软件 开发 生命 周期 

SHA Secure Hash Algorithm 安全 哈 希 算法 

SQUARE Security QUAlity Requirements Engineering 安全 质量 需求 工程 

TOE Target Of Evaluation 分 析 评 佑 对 象 

VM Vulnerability Management 狂 洞 管理 

XML eXtensible Markup Language 可 扩展 标记 声言 
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